Siber Suç, Finans ve Bankacılık, Dolandırıcılık Yönetimi ve Siber Suç
Texas Credit Union, Mayıs 2023 Veri Hırsızlığı Hakkında Sadece 500.000 Üyeyi Bilgilendiriyor
Mathew J. Schwartz (euroinfosec) •
26 Ağustos 2024
MOVEit güvenli dosya transfer yazılımını kullananlara yönelik büyük bir tedarik zinciri saldırısından on beş ay sonra, bir kredi birliği mağdurlara bir veri ihlali bildirimi yayınladı.
Ayrıca bakınız: 2024 Dolandırıcılık İçgörüleri Raporu
Texas Dow Çalışanları Kredi Birliği, Cuma günü yayınladığı raporda, Mayıs 2023’te MOVEit yazılımına yapılan saldırıda isimlerinin ve çeşitli kişisel bilgilerinin ifşa olduğu konusunda 500.474 kişiye bildirimde bulunduğunu bildirdi.
Teksas’ın Lake Jackson kentindeki kredi birliğinin internet sitesinde, 4,8 milyar doların üzerinde varlığı ve 387.000 üyesiyle Houston bölgesinin en büyük, eyaletin ise dördüncü büyük kredi birliği olduğu belirtiliyor.
Finans kuruluşu, internet sitesinde 30 Temmuz’da “TDECU üyelerinin kişisel bilgilerini içeren belirli dosyaların kötü niyetli kişi tarafından 29-31 Mayıs 2023 tarihleri arasında MOVEit’ten kaldırılmış olabileceğini” keşfettiğini belirtti.
Etkilenen veriler arasında doğum tarihiyle birlikte tam adlar, Sosyal Güvenlik numarası, hesap ve ödeme kartı numaraları ve sürücü belgesi gibi resmi kimlik numaraları yer alıyor.
Kredi birliği, müşterilerin kişisel bilgilerinin ifşa edildiğini yalnızca geçen ay doğruladığını söyledi. Bu sonuca ulaşmak için neden 14 aya ihtiyaç duyduğuna dair bir yorum talebine hemen yanıt vermedi.
Birçok eyalet, kuruluşların bir ihlal hakkında kendilerini “mümkün olduğunca çabuk” ve genellikle bir ihlalin gerçekleştiğini veya gerçekleşmiş olabileceğini belirledikten sonra 30 günden geç olmamak üzere bilgilendirmelerini gerektirir. TDECU’nun yayınladığı zaman çizelgesine göre, kredi birliği bir ihlalin gerçekleştiğini 30 günden daha kısa bir süre önce belirlemiştir.
ABD Ulusal Kredi Birliği İdaresi, “federal olarak sigortalı tüm kredi birliklerinin, makul bir şekilde raporlanabilir bir siber olay yaşadığına inanması veya üçüncü bir taraftan raporlanabilir bir siber olayla ilgili bir bildirim alması durumunda, mümkün olan en kısa sürede ve en geç 72 saat içinde NCUA’ya bildirimde bulunmasını” şart koşmaktadır. Ancak bu kurallar ancak Eylül 2023’te yürürlüğe girmiştir.
TDECU, Massachusetts merkezli Progress Software’in MOVEit güvenli dosya aktarım yazılımını kullanan ve veri kaybeden birçok kuruluştan biriydi. 27 Mayıs 2023 civarında, fidye yazılımı grubu Clop – diğer adıyla Cl0p – MOVEit kullanıcılarına karşı büyük ve muhtemelen oldukça otomatik bir tedarik zinciri saldırısı başlattı. Sadece birkaç gün süren kampanya, Clop’un yazılımı kullanan kuruluşlar tarafından depolanan verileri çalmak için MOVEit yazılımındaki sıfır günlük bir güvenlik açığını istismar etmesini içeriyordu.
Saldırı başladıktan dört gün sonra Progress Software, müşterilerini kampanya konusunda uyardı ve CVE-2023-34362 olarak izlenen açığı düzeltmek için bir yama yayınladı.
Clop, hedeflenen MOVEit sunucularından hiçbirini şifrelememiş veya silmemiş gibi görünüyor, bunun yerine yalnızca verileri sızdırıyor ve ardından kurbanları gasp ediyor. Fidye yazılımı olay müdahale şirketi Coveware, grubun çalınan verileri sileceğine dair bir söz karşılığında birkaç çok büyük kurbandan tahmini 75 milyon ila 100 milyon dolar kazandığını söyledi.
Güvenlik şirketi Emsisoft, Haziran sonu itibarıyla saldırıdan doğrudan veya dolaylı olarak etkilenen kuruluş sayısının 2.770’i geçtiğini ve 95 milyondan fazla kişiye ilişkin bilginin ifşa edildiğini söyledi.
Raporda, en çok etkilenen sektörlerin %39 ile eğitim olduğu, bunu %20 ile sağlık sektörünün, %13 ile finans ve profesyonel hizmetlerin izlediği belirtildi.
Mağdurlar arasında BT danışmanlık şirketi Maximus, ShellOil, sağlık yazılımı satıcısı Welltok, California’daki Delta Dental, Nunace Communications, Gen Digital – özellikle Avast siber güvenlik bölümü – ve Colorado, Louisiana ve Oregon’daki eyalet hükümet kurumları yer aldı.
ABD Menkul Kıymetler ve Borsa Komisyonu yakın zamanda Progress Software’e yönelik ihlal nedeniyle başlatılan soruşturmayı düşürdü (bkz: Fed’ler MOVEit Zero-Day Nedeniyle Progressive Software’e Yönelik Soruşturmayı Bıraktı).
Progress daha önce yatırımcılara ayrıca “yerli ve yabancı veri gizliliği düzenleyicilerinden gelen çeşitli soruşturmalarla, çeşitli eyalet başsavcılarından gelen soruşturmalarla” ve Progress Software’i hedef olarak göstermeyen federal bir kolluk kuvveti kurumunun yürüttüğü soruşturmayla iş birliği yaptığını bildirmişti.
Progress Software’e karşı yüzlerce toplu dava önerisi de açıldı ve bunlar Massachusetts Bölge Mahkemesi’nde tek bir davada birleştirildi.