Olay ve İhlale Müdahale, Güvenlik Operasyonları
Büyük Mortgage Kredisi Verenlerin Müşterileri Çevrimiçi Ödemenin Taşınabilir Olduğunu Söyledi
Mathew J. Schwartz (euroinfosec) •
8 Ocak 2024
Banka dışı ipotek kredisi devi LoanDepot, müşterilerini ve yatırımcılarını, bilgisayar korsanlarının ağına sızdığı, bilgilere ve şifrelenmiş verilere yetkisiz erişim sağladığı ve bunun saldırıyı araştırırken çok sayıda sistemi çevrimdışına almasına yol açtığı konusunda uyarıyor.
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
Halka açık LoanDepot, Pazartesi günü ABD Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir dosyada, saldırının Perşembe günü başladığını ve ağına yetkisiz erişimi içerdiğini söyledi. Yakın zamanda kamu şirketlerinin “önemli” çevrimiçi saldırıları düzenleyiciye dört iş günü içinde bildirmelerini gerektiren yeni SEC kuralları yürürlüğe girdi (bkz: SEC, 4 Gün İçinde Önemli Olayların Açıklanması Gereksinimini Oyladı).
2010 yılında kurulan, Irvine, California merkezli şirket, bazen krediDepot adını da veriyor, 140 milyar doların üzerinde kredi hizmeti veriyor ve yaklaşık 4.500 çalışanı var. Şirket, 2023’ün üçüncü çeyreğinde 266 milyon dolar gelir ve FAVÖK’e göre düzeltilmiş 18 milyon dolar kar bildirdi.
LoanDepot, SEC dosyasında “Soruşturmamız devam etse de şu anda şirket, yetkisiz üçüncü taraf faaliyetlerinin belirli şirket sistemlerine erişim ve verilerin şifrelenmesini içerdiğini belirledi.” dedi. “Buna yanıt olarak şirket belirli sistemleri kapattı ve ticari operasyonlarını güvence altına almak, sistemleri tekrar çevrimiçi hale getirmek ve olaya müdahale etmek için önlemler uygulamaya devam ediyor.”
Pazartesi sabahı şirket ilk ihlal bildirimini web sitesinde yayınladı. Bundan önceki birkaç gün boyunca müşteriler, Amerika’nın en büyük ipotek kredisi sağlayıcılarından biri olan şirkete ulaşamadıklarını sosyal medyada bildiriyordu. Müşteriler ayrıca ipotek ödemelerini takip etmek için şirketin web sitesine veya ödeme portalına erişemediklerini söyledi.
Şirket, ihlal uyarısında müşterilere “Bazı sistemleri çevrimdışına aldık ve normal iş operasyonlarını mümkün olan en kısa sürede geri yüklemek için özenle çalışıyoruz” dedi. “Olayın boyutunu anlamak için hızla çalışıyoruz ve etkisini en aza indirecek adımlar atıyoruz.”
LoanDepot, müşterilere ek güncellemeleri mümkün olan en kısa sürede web sitesi aracılığıyla yayınlama sözü verdi.
Şirket, saldırganların çalışanlara veya ipotek sahiplerine ait veritabanlarını veya dosyaları sızdırıp sızdırmadığını veya bunların fidye için tutulup tutulmadığını henüz açıklamadı (bkz: Fidye Yazılımı: 2023 Kurban Sayısının Rekor Seviyelere Ulaştığı Görünüyor).
LoanDepot’un müşterileri, siteye erişimde zorluk yaşadıklarını bildirmek için Cuma günü sosyal medyayı kullanmaya başladı ve bir kullanıcı gönderildi Eski Twitter adıyla bilinen X’e: “Sistemleriniz mi çöktü? Sabahtan beri sisteme giriş yapamıyorsunuz.”
Başka kullanıcı tweet attı LoanDepot Cumartesi günü: “Sitenizin güncellenmesi nedeniyle ipoteğimi ödeyemiyorum. Numaranızı bile arayamıyorum. Tam bir kabustu.”
Pazar günü bir müşteri diye sordu X aracılığıyla şirket: “Tüm sistemler kapalıysa vadesi gelen faturamı nasıl ödeyebilirim?”
Şirket, “Lütfen telefon numaranızı DM ile bize bildirin. Size hemen ulaşacağız” yanıtını verdi.
Ağustos 2022 İhlalini Takip Ediyor
Bu, saldırganların LoanDepot’un ağına gerçekleştirdiği ilk saldırı değil. Maine başsavcılığına sunulan bir ihlal bildirimine göre şirket, 8 Mayıs 2023’te 1.361 müşteriyi, önceki Ağustos ayında meydana gelen bir saldırıda bilgilerinin çalındığı konusunda uyarmaya başladı.
Şirket, etkilenen müşterileri, saldırganların “az sayıda dahili hesaba yetkisiz erişim” elde ettiği ve Sosyal Güvenlik numaraları da dahil olmak üzere kişisel bilgilerini içeren dosyaları çalmış olabileceği konusunda uyardı.
Bildirimde, şirketin bu ihlalin ardından etkilenen müşterileri doğrudan bilgilendirmek için neden dokuz ay sürdüğü belirtilmedi.