Dallas merkezli bir finansal hizmetler firması olan American First Finance, LLC, yakın zamanda feshedilen bir çalışan üretim veritabanına yetkisiz erişimden yararlandığında önemli bir içeriden ihlal etti.
Binçe Insider ihlali olarak adlandırılan olay, doğrudan SQL sorguları ve izlenmemiş API uç noktaları aracılığıyla hassas müşteri kayıtlarının yaklaşık 689.000 isim, sosyal güvenlik numaraları ve diğer kişisel tanımlayıcıların yayılmasına neden oldu.
Şirket, Base64’te kodlanan ve SSH tünelleri üzerinden harici bir IP adresine aktarılan alışılmadık derecede yüksek miktarda veri ihracatı tespit eden SIEM sistemi tarafından işaretlenen anormal aktivitenin ardından 18 Haziran 2025’te ihlali keşfetti.
Key Takeaways
1. 689K records exposed via insider database access.
2. Notifications sent July 29, 2025; 24-month IDX protection offered.
3. Incident contained; moving to JIT access, AWS KMS, and analytics.
Amerikan Birinci Finans Veri İhlali
American First Finance’ın veri ortamı, katı güvenlik grupları tarafından bölümlere ayrılmış bir Sanal Özel Bulut (VPC) içinde Amazon RDS örneklerinde depolanan müşteri verilerini içeriyordu.
Çok faktörlü kimlik doğrulamasına (MFA) ve rol tabanlı erişim kontrollerine (RBAC) rağmen, eski çalışan arşivlenmiş bir hizmet hesabında bırakılan artık ayrıcalıklardan yararlandı.
Kimliği doğrulandıktan sonra, içeriden CSV formatında PII çıkararak birden çok şema tablosunda otomatik seçkin ifadeler yürüttü. Çıkarılan veri kümesi şunları içeriyor:
- Tam Adlar ve Posta Adresleri
- Sosyal güvenlik numaraları ve doğum tarihleri
- Finansal hesap numaraları ve kredi geçmişleri
Maine Başsavcılığı’na göre, 208 Maine sakinleri de dahil olmak üzere toplam 689.000 kişi etkilendi. Maine’nin veri ihlali bildirim yasası uyarınca, Maine sakini sayısı 1.000’i aştığı için tüketici raporlama ajansları bilgilendirildi.
Amerikan Birinci Finans, adli analiz için derhal maniantla uğraştı, uzlaşmış hesabın ötesinde yanal hareket olduğuna dair hiçbir kanıt ve harici bakan sistemlerin ek bir sömürüsü yoktu.
Hafifletme
29 Temmuz 2025’te, Amerikan Birinci Finans, etkilenen tüm müşterilere Gram-Leach-M-M-Müttefik Yasası’nın 5B bölümüne bağlı kaldı.
Maine sakinleri, resmi bildirimin bir kopyası da dahil olmak üzere düzenleyici yönergelerle tutarlı özel bir ihlal bildirimi aldı.
Firma, gerçek zamanlı kredi uyarıları, kimlik restorasyon hizmetleri ve karanlık web taraması içeren IDX aracılığıyla 24 aylık ücretsiz kimlik hırsızlığı koruması ve kredi izleme sundu.
Bildirimi sunan Yardımcı Genel Danışman Jason Griggs, ihlalin dahili olarak kullanılan tüm kimlik bilgilerinde hızlı hesap iptali, günlük analizi ve şifre sıfırlamalarıyla içerildiğini vurguladı.
Griggs, “Güvenlik Operasyon Merkezimiz (SOC), tehlikeye atılan kimlik bilgilerini izole etmek ve daha fazla yetkisiz erişim sağlamak için hızla hareket etti” dedi.
İleride, Amerikan First Finance tam zamanında (JIT) erişim sağlanmasını uygulamayı planlıyor, AWS KMS ile veritabanı şifrelemesini geliştirmeyi ve anormal içeriden aktiviteleri tespit etmek için Kullanıcı Davranışı Analytics’i (UBA) dağıtmayı planlıyor. Bu önlemler güvenlik duruşlarını güçlendirmeyi ve gelecekteki içeriden gelen tehditleri önlemeyi amaçlamaktadır.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free