Latitude Financial Services (Latitude), bir siber saldırıya maruz kaldıktan sonra şirketin dahili ve müşteriye dönük sistemlerini kapatmasına neden olan bir veri ihlali olduğunu açıkladı.
Latitude, Avustralya’nın en büyük kişisel kredi sağlayıcılarından biridir ve ülkenin en büyük banka dışı tüketici kredisi sağlayıcısıdır.
Deutsche Bank ve KKE’nin bir yan kuruluşu olan firma, teminatsız bireysel krediler, kredi kartları, araba kredileri, kişisel sigorta ve faizsiz perakende finansman dahil olmak üzere geniş bir yelpazede tüketici finansmanı hizmetleri sunmaktadır.
Ayrıca Latitude, Harvey Norman, JB Hi-Fi, David Jones ve The Good Guys gibi büyük Avustralyalı perakendecilere “şimdi satın al, sonra öde” (BNPL) programları sağlar.
Bir ihlal diğerine yol açar
“Siber olay” bildirimine göre, Latitude’un dahili sistemleri ihlal edildi ve bir tehdit aktörünün bir çalışanın oturum açma bilgilerini çalmasına izin verildi. Bu kimlik bilgileri daha sonra müşteri verilerini çalmak için şirketin hizmet sağlayıcılarından ikisinde oturum açmak için kullanıldı.
Latitude, “Bugün itibariyle, %97’sinden fazlası sürücü belgelerinin kopyaları olan yaklaşık 103.000 kimlik belgesinin ilk hizmet sağlayıcıdan çalındığını anladı”, diye açıklıyor Latitude.
“İkinci hizmet sağlayıcıdan da yaklaşık 225.000 müşteri kaydı çalındı.”
Latitude, ikinci sağlayıcıdan alınan kayıtların birinci sağlayıcıyla benzer veriler, yani kimlik ve sürücü belgeleri veya diğer bilgiler içerip içermediğini netleştirmedi.
BleepingComputer, firmadan bunu açıklığa kavuşturmak için bir yorum istedi ve bir yanıt alır almaz bu hikayeyi güncelleyeceğiz.
Maruz kalan müşterilerin şu anda kendilerini korumak için herhangi bir işlem yapmaları beklenmemektedir. Ancak, çalınan verileri kimlik avı veya sosyal mühendislik saldırılarında kullanılabileceğinden dikkatli olmaları önerilir.
Şirket, olaya yanıt verirken birkaç dahili ve müşteriye dönük sistemi kapattı ve saldırıyı kontrol altına alma ve ihlalleri veya daha fazla müşteri verisini önleme çabalarının halen devam ettiğini söylüyor.
Genel duyuru tüm müşterilerin kullanımına sunulurken, güvenlik olayından doğrudan etkilendiği belirlenen müşterilere kişisel bildirimler gönderilecek.