Siber Suçlar, Finans ve Bankacılık, Dolandırıcılık Yönetimi ve Siber Suçlar
Müşterilerin ‘Hassas Kişisel Bilgileri’ Çalındı, Büyük İpotek Borç Veren Raporları
Mathew J. Schwartz (euroinfosec) •
22 Ocak 2024
Banka dışı ipotek kredisi devi LoanDepot, bilgisayar korsanlarının bu ayın başlarında sistemlerini ihlal ederek yaklaşık 17 milyon müşteriye ait bilgileri çaldığını söyledi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
LoanDepot, fidye yazılımı saldırısını ilk kez 8 Ocak’ta kamuoyuna duyurdu ve saldırının 4 Ocak’ta başladığını bildirdi. Halka açık şirket, saldırganların ağına sızdığını, bilgilere ve şifrelenmiş verilere yetkisiz erişim elde ettiğini söyledi. Buna yanıt olarak şirket, saldırıyı araştırırken birden fazla sistemi çevrimdışına aldı.
2010 yılında kurulan ve bazen krediDepot adını da veren Irvine, Kaliforniya şirketi, 140 milyar doların üzerinde kredi hizmeti veriyor ve yaklaşık 4.500 çalışanı var. Şirket, 2023’ün üçüncü çeyreğinde 266 milyon dolar gelir ve 18 milyon dolar düzeltilmiş kar bildirdi.
Konut ipoteğine dayalı menkul kıymetleştirmeleri derecelendiren Moody’s Investors Service’in kıdemli kredi yetkilisi William Fricke, “Bu, son altı ay içinde ipotek sektörüne yönelik bir dizi siber saldırının en son olayıdır ve ipotek operasyonlarında siber güvenliğin önemini göstermektedir” dedi. .
LoanDepot, Pazartesi günü ABD Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir dosyada şüpheli veri ihlali kurbanlarının sayısını ilk kez belirledi ve ihlal soruşturması devam ederken şirketin artık saldırganların 16,6 milyon müşteriye ait “hassas kişisel bilgileri” çaldığına inandığını bildirdi. LoanDepot, etkilenen müşterileri doğrudan bilgilendireceğini ve onlara ön ödemeli kredi izleme ve kimlik koruma hizmetleri sunacağını söyledi.
LoanDepot, saldırının belirli bir fidye yazılımı grubuna atfedilip atfedilmediği, fidye talebi alıp almadığı veya saldırıya yanıt olarak fidye ödeyip ödemediği konusunda yorum yapmaktan kaçındı.
Ağa izinsiz giriş ve yetkisiz erişimin ardından LoanDepot, saldırıyı araştırmak ve düzeltmeye yardımcı olmak için dışarıdan dijital adli tıp ve siber güvenlik uzmanlarını çağırdığını söyledi. Şirket, sistemleri “mümkün olduğu kadar çabuk” geri yüklemeye devam ettiğini ve güncellemeleri özel bir web sitesi aracılığıyla yayınladığını söyledi.
Şirket Perşembe günü, bireylerin çevrimiçi kredi başvuruları yaptığı veya takip ettiği MyloanDepot müşteri portalını restore ettiğini bildirdi. Cuma günü şirket, müşteri portalının ve mobil uygulamasının “artık tamamen çalışır durumda olduğunu” söyledi.
Şirket daha önce “yinelenen otomatik ödemelerin beklendiği gibi işlemeye devam ettiğini” bildirmiş ve hâlâ ACH ödemeleri alabileceğini belirtmişti.
LoanDepot fidye yazılımı saldırısının kurbanı olduğunu ilk kez doğruladığında, müşteriler birkaç gün boyunca sosyal medyayı kullanarak Amerika’nın en büyük ipotek kredi sağlayıcılarından biri olan şirketle iletişim kuramadıklarını veya ipoteklerini karşılamak için şirketin web sitesine ya da ödeme portalına erişemediklerini bildiriyordu. ödeme yükümlülükleri. Şirket, müşterilerin bunun yerine ödeme yapmak veya ödemeleri posta yoluyla göndermek için kredi hizmeti iletişim merkezini aramasını talep etti.
11 Ocak’ta Moody’s, saldırıyı “yakından izlediğini” ve bunun, CreditDepot hizmetlerinin teminatın bir kısmı veya tamamı olduğu Moody’s dereceli yaklaşık 50 ABD RMBS işlemi üzerindeki etkisini “yakından izlediğini” bildirdi.
Moody’s Fricke o dönemde yaptığı açıklamada, “Siber olayın bir parçası olarak, borçlular şu anda şirketin web sitesindeki çevrimiçi portallarına giriş yapamıyor, bu da onların bu portal üzerinden tek seferlik ödeme yapma yeteneklerini etkiliyor.” dedi. “Bunun kısa vadede kredi temerrüt seviyeleri üzerinde ne gibi bir etkisi olabileceğini zaman gösterecek.”
Bu, saldırganların LoanDepot’un ağına sızıp verileri çalması ilk kez değil. Mayıs 2023’te şirket, Ağustos 2022’de saldırganların 1.361 müşteriye ait bilgilere erişim elde ettiğini açıkladı. LoanDepot, etkilenen müşterileri, saldırganların “az sayıda dahili hesaba yetkisiz erişim” elde ettiği ve Sosyal Güvenlik numaraları da dahil olmak üzere kişisel bilgilerini içeren dosyaları çalmış olabileceği konusunda doğrudan uyardı.