İki otomobil sigortası şirketi, New York Eyaleti’nin, bilgisayar korsanlarının 12.000’den fazla eyalet sakininin kişisel verilerini tehlikeye atmasına izin veren yetersiz güvenlik nedeniyle ağır bir ceza ödeyecek.
New York Başsavcısı Letitia James ve New York Eyaleti Finansal Hizmetler Departmanı (DFS) Müfettişi Adrienne A. Harris, Devlet Çalışanları Sigorta Şirketi (GEICO) ve Travellers Indemnity Co.’ya verilen 11,3 milyon dolarlık para cezasının eyaletin “kötü veri” olarak nitelendirdiği durumun ardından geldiğini söyledi Siber suçluların sürücü belgesi numaralarını çalmasına olanak tanıyan “güvenlik” uygulamaları. Daha da kötüsü, COVID-19 krizinin zirvesinde bu bilgiyi sahte işsizlik başvurularında bulunmak için kullandılar. Özellikle, Sigortacıların ihlalde bulunduğu tespit edildi Açıklamada, “tüketici verilerinin yanı sıra finansal kurumların kendilerini de korumak için tasarlanmış politikaları, prosedürleri ve kontrolleri uygulamaya” yönelik bir devlet düzenlemesi olduğu belirtildi.
GEICO’nun 9,75 milyon dolar, Travellers’ın ise 1,55 milyon dolar ödemesine karar verildi.
James, “GEICO ve Travellers, acil durumlarda sürücülere koruma sağlıyor ancak bu şirketler tüketicilerin kişisel bilgilerini korumada başarısız oldu” dedi. “Veri ihlalleri ciddi dolandırıcılığa yol açabilir ve bu nedenle tüm şirketlerin siber güvenlik ve veri korumayı ciddiye alması önemlidir.”
GEICO, Kasım 2020’de uzlaşma yaşadı araba sigortası New York düzenleyicileri, alıntı aracının, tehdit aktörlerinin şirketin halka açık web sitesinden sürücü belgesi numaralarını çalmasına olanak tanıdığını söyledi.
Açıklamada, “DFS tarafından sürücü belgesi numaralarını almaya yönelik sektör çapında bir siber saldırı kampanyası hakkında bilgilendirilmesine ve ayrı siber güvenlik olaylarının yaşanması, ifşa edilmesi ve düzeltilmesine rağmen GEICO, gelecekteki siber saldırıları önlemek ve tespit etmek için sistemlerini kapsamlı bir şekilde incelemeyi başaramadı.” devam etti.
Bu ihlalin ardından bilgisayar korsanları, GEICO’nun sigorta acentelerine yönelik fiyat teklifi aracındaki bir güvenlik açığından ayrı bir platformda yararlanmaya yöneldi.
Açıklamada, GEICO’ya yönelik her iki siber saldırının da çoğu ikinci uzlaşmada sızdırılan yaklaşık 116.000 New York sakininin kişisel bilgilerinin açığa çıktığı belirtildi.
Gezginler de, bu sefer bağımsız acenteler tarafından kullanılan bir hesap makinesi olan otomobil sigortası fiyat teklifi verme aracına yönelik benzer bir siber saldırıyla saldırıya uğradı. Açıklamada, tehdit aktörlerinin bu tür kampanyalar yürüttüğüne dair çok sayıda uyarı almasına rağmen, bilgisayar korsanlarının Nisan 2021’de ele geçirilen kimlik bilgilerini kullanarak düz metin olarak lisans numaraları içeren raporlar oluşturabildikleri ve 4.000 New Yorklunun verilerini açığa çıkardıkları belirtildi.
Bu sigortacılar, cezaların yanı sıra, özel bilgilerin korunmasını iyileştirmek, kapsamlı bir veri envanteri oluşturmak, özel verilere erişim için kimlik doğrulama gerektirmek, kayıt tutma ve izlemeyi uygulamak ve tehdit yanıt planlamasını ve prosedürlerini geliştirmek de dahil olmak üzere siber güvenlik uygulamalarını iyileştirmeyi kabul etti.
GEICO ayrıca kapsamlı risk değerlendirmesi ve sızma testi de dahil olmak üzere iyileştirici önlemler almayı ve ayrıca ortaya çıkan sorunları ele alacak bir eylem planı geliştirmeyi de kabul etti. Düzenleyicilerin beyanına göre, gezginler sistemlerini gözden geçirmeyi, kendi erişim kontrollerini değerlendirmeyi ve kamuya açık olmayan kişisel bilgilere yetkisiz erişime karşı korumaları iyileştirmeyi kabul etti.