Kasım 2023’te Lockbit fidye yazılımı çetesi, Infosys McCamish sistemini hedefleme sorumluluğunu üstlendi ve görünen o ki, veri ihlalinin ardından yaşananlar ortaya çıkıyor.
Ertelenmiş tazminat planlarına katılan Bank of America müşterileri, bu planları yöneten üçüncü taraf sağlayıcı Infosys McCamish Systems’de (IMS) meydana gelen bir veri ihlali sonrasında endişelerle karşı karşıya kalıyor. İlk olarak Kasım 2023’te bildirilen ancak bu ay kamuya açıklanan olay, 57.028 kişinin kişisel bilgilerini açığa çıkardı.
Bank of America’nın hem senaryo çocukları hem de gelişmiş siber suçlular için kazançlı ve oldukça aranan bir hedef olduğu göz önüne alındığında, son olay şaşırtıcı olmamalı. Mayıs 2020’deki veri ihlali, bankanın müşterilerini hedef alan devam eden kimlik avı saldırıları serisi gibi dikkate değer bir emsal teşkil ediyor.
Ne oldu:
Infosys McCamish’in etkilenen müşterilere 3 Kasım 2023’te gönderdiği bir mektupta, yetkisiz bir üçüncü tarafın IMS sistemlerine sızarak hassas müşteri verilerine eriştiği görüldü. Potansiyel olarak ele geçirilen bilgiler arasında isimler, adresler, sosyal güvenlik numaraları, doğum tarihleri, ertelenmiş tazminat planlarıyla bağlantılı mali ayrıntılar ve diğer hesap bilgileri yer alıyor.
Şirketin Maine Başsavcılığı’na sunduğu veri ihlali bildirimine göre, Maine’de yaşayan 93 kişi veri ihlalinden etkilendi. Bilgi hazinesi, kimlik hırsızlığı, mali dolandırıcılık ve kimlik avı dolandırıcılığı gibi çeşitli kötü amaçlı faaliyetler için kullanılabilir. Güvenlik açığının spesifik niteliği belirsizliğini korusa da IMS, gelecekteki ihlalleri önlemek için önlemler uygulamaya koydu.
Etkilenen Bireyler:
Etkilenen Bank of America müşterilerinin kesin sayısı bilinmekle birlikte (57.028), her bir birey için erişilen verilerin kapsamı belirsizliğini koruyor. IMS, yetkisiz tarafça hangi belirli bilgi parçalarının görüntülendiğini belirleyemediğini iddia ediyor.
Ancak şunu belirtmekte fayda var ki 4 Kasım’da LockBit fidye yazılımı çetesi sorumluluk üstlendi IMS saldırısı için operatörlerinin ihlal sırasında 2.000’den fazla sistemi şifrelediğini belirtti.
Bank of America’nın yanıtı:
Bank of America, ihlali 24 Kasım 2023’te öğrendi ve o zamandan beri etkilenen müşterileri bilgilendirmek için adımlar attı. Banka, potansiyel risklerin azaltılmasına yardımcı olmak amacıyla Experian’ın kimlik hırsızlığı koruma hizmetlerine iki yıllık ücretsiz üyelik sunuyor. Ayrıca müşterilerin dikkatli olmalarını ve hesaplarını şüpheli etkinliklere karşı izlemelerini tavsiye ediyorlar.
Uzmanlar Veri İhlali Konusunda Bilgi Sağlıyor:
En son gelişmeye ilişkin içgörüler için, Scottsdale, Arizona merkezli kapsamlı sertifika yaşam döngüsü yönetimi (CLM) sağlayıcısı Sectigo’nun Baş Deneyim Sorumlusu Tim Callan ile konuştuk ve üçüncü taraflara siber güvenlik önlemleri hakkında sorular sorduk.
“Finansal kurumlar çeşitli hizmetler için giderek daha fazla üçüncü taraf satıcılara güvendikçe, istemeden de olsa saldırı yüzeylerini genişleterek hassas müşteri verilerini potansiyel ihlallere maruz bırakıyorlar. Tim Advised, bu tür riskleri azaltmak için gözetimin güçlendirilmesi ve üçüncü taraf ortaklıkları için sıkı güvenlik protokollerinin uygulanması zorunludur.
IDEE CEO’su Al Lakhani, geleneksel çok faktörlü kimlik doğrulama (MFA) sistemlerinin sınırlamalarını vurguladı ve tedarik zincirini korumak için yeni nesil MFA çözümlerini savundu.
“Tedarik zincirini korumak kritik önem taşıyor. Özellikle bu tür saldırılara neden olabilecekleri zaman. Bu nedenle, iki cihaz gerektiren ve kimlik bilgilerine yönelik kimlik avı saldırılarını önleme becerisine sahip olmayan birinci nesil MFA’ya güvenmek, başlangıç noktası değildir,” diye açıkladı Al. “Tedarik zincirlerini etkili bir şekilde güçlendirmek için, aynı cihaz MFA’sını kullanarak ortadaki düşman saldırıları da dahil olmak üzere kimlik bilgisi, kimlik avı ve parola tabanlı saldırılara karşı koruma sağlayan yeni nesil MFA çözümleri kullanılarak korunmaları gerekiyor” dedi.
Devam Eden Endişeler:
Bank of America’nın tepkisine rağmen etkilenen bireylerle ilgili endişeler devam ediyor. Hangi verilere erişildiğinin netlik kazanmaması ve kötüye kullanım ihtimali önemli kaygı kaynaklarıdır. Mali kayıplar, kimlik hırsızlığı ve diğer olumsuz sonuçlar potansiyeli göz ardı edilemez.
Endüstri Etkileri:
Bu olay, finansal hizmetler sektöründe artan veri ihlali tehdidinin altını çiziyor. Hem finansal kurumlar hem de IMS gibi üçüncü taraf sağlayıcılar için güçlü siber güvenlik önlemlerinin öneminin altını çiziyor. Üçüncü taraf hizmetlerine güvenmek, sıkı veri güvenliği protokolleri ve kapsamlı risk yönetimi stratejileri gerektiren ek güvenlik açıklarını beraberinde getirir.
İleriye dönük:
İhlalin doğrudan etkisi henüz görülmese de, veri gizliliği ve güvenliğinin öneminin açık bir hatırlatıcısı olarak hizmet ediyor. Bireylerin dikkatli olmaları, hesaplarını yakından takip etmeleri ve Bank of America’nın sunduğu kaynaklardan yararlanmaları tavsiye ediliyor.
Ayrıca bu olay, finansal hizmetler sektöründe müşteri verilerini korumak ve gelecekteki ihlalleri önlemek için daha sıkı düzenlemelere ve gelişmiş güvenlik protokollerine duyulan ihtiyacı vurguluyor.
ALAKALI HABERLER
- Lockbit Fidye Yazılımı Boeing Verilerini Sızdırıyor
- LockBit Fidye Yazılımı Çetesi Subway’in Yeni Kurban Olduğunu İddia Ediyor
- ‘Önemli Bildirim’ Kimlik Avı Dolandırıcılığı American Express’i Etkiledi
- Bank of America Kimlik Avı Bağlantısı Müşterilerin Kişisel Verilerini Çalıyor
- Dünyanın En Büyük Bankası ICBC, Felç Edici Fidye Yazılımı Saldırısını Açıkladı