Olay ve İhlallere Müdahale, Mevzuat ve Dava, Güvenlik Operasyonları
Yeni Davalar Prudential, Plus Charles Schwab ve Bağlı Ortaklığı TD Ameritrade’i Hedefliyor
Mathew J. Schwartz (euroinfosec) •
25 Ağustos 2023
MOVEit dosya paylaşım yazılımına yapılan toplu saldırıdan etkilenen finansal hizmet firmaları, etkilenen kişilerden en son açılan davalar arasında yer alıyor. Prudential’a karşı açılan böyle bir dava, çalınan Sosyal Güvenlik numaraları değiştirilemediği için firmanın olağan iki yıllık kimlik hırsızlığı izleme hizmeti yerine 10 yıllık kimlik hırsızlığı izleme hizmeti bedelini ödemesini istiyor.
Ayrıca bakınız: Araçlar ve Teknoloji: Yönetişim, Risk ve Uyumluluk Başucu Kitabı
Güvenlik firması Emsisoft’un bildirdiğine göre, kamuya açık veri ihlali bildirimlerine ve Clop’un veri sızıntısı sitesinde listelenen kurbanlara dayanarak şimdiye kadar 998 kuruluşun MOVEit saldırılarının kurbanı olduğu biliniyor.
Alman siber güvenlik araştırma firması KonBriefing’e göre, Clop’un saldırıları dünya çapında en az 49 ila 54 milyon kişiyi etkiledi.
Rusça konuşan Clop grubu, dünya çapındaki MOVEit sunucularında, sunucuda depolanan tüm verileri çalmasına olanak tanıyan sıfır gün kusurunu hedef aldı. Clop, görünüşe göre ABD Anma Günü tatil haftasonundan yararlanmak için zamanlanmış, yüksek derecede otomatikleştirilmiş toplu saldırısını 29 Mayıs civarında gerçekleştirdi. Massachusetts merkezli Progress Software, MOVEit yazılımındaki kusuru düzeltmek için 31 Mayıs’ta bir güvenlik uyarısı ve yamalar yayınladı.
Saldırılar nedeniyle milyonlarca kişi hakkında bilgi kaybettiğini bildiren kuruluşlar arasında hükümet yüklenicisi Maximus; Louisiana, Colorado ve Oregon’daki eyalet devlet kurumları; ve Amerika Öğretmen Sigortası ve Yıllık Gelir Birliği; diğerleri arasında.
MOVEit veri ihlallerinden etkilenen kişiler, TIAA, Johns Hopkins Üniversitesi ve sağlık sistemi, Kaliforniya Kamu Çalışanları Emeklilik Sistemi (diğer adıyla CalPERS) ve Progress Software’in kendisi de dahil olmak üzere kişisel bilgilerini doğrudan veya dolaylı olarak kaybeden kuruluşlara karşı çok sayıda dava açtı.
Son zamanlarda iki finansal hizmet devine karşı yeni davalar açıldı: Prudential, Charles Schwab ve yan kuruluşu TD Ameritrade.
İhtiyatlı Mağdurlar Daha Fazla İzleme İstiyor
Prudential, 31 Temmuz’da 320.840 kişiye adları ve Sosyal Güvenlik numaraları da dahil olmak üzere kişisel verilerinin hizmet sağlayıcısı Pension Benefit Information’ın MOVEit sunucusuna yapılan bir saldırı yoluyla açığa çıktığı konusunda bildirimde bulunmaya başladı ve onlara 24 ay ön ödemeli kredi ve kimlik hırsızlığı izleme hizmetleri sundu.
PBI, finansal hizmet firmaları tarafından, ölen poliçe sahiplerinin ve onların yararlanıcılarının belirlenmesi de dahil olmak üzere federal düzenlemelere uymalarına yardımcı olmak için yaygın olarak kullanılmaktadır. Çok sayıda kuruluş, PBI ve diğer hizmet sağlayıcıların ihlalleri nedeniyle MOVEit’in saldırılarına dolaylı olarak kurban gittiğini bildirdi.
Kaliforniya’da ikamet eden Bruce Parker, 15 Ağustos’ta New Jersey federal mahkemesine Prudential’a karşı toplu dava statüsü talebinde bulunan bir şikayette bulundu. Dava, Prudential’ı müşterilerin kişisel bilgilerini korumayarak genel hukuku ihlal etmekle suçluyor ve mağdurların “değiştiremeyecekleri ve değiştiremeyecekleri Sosyal Güvenlik numaraları da dahil olmak üzere kaybedilen bilgilerin niteliği nedeniyle artık ömür boyu kimlik hırsızlığı riskiyle karşı karşıya olduklarını” söylüyor. yeniden özel hale getirilecek.”
Parker tazminat talebinde bulunuyor ve Prudential’ın güvenlik programını elden geçirmesini ve önümüzdeki 10 yıl boyunca dış güvenlik denetimlerine tabi tutulmasını istiyor. Ayrıca Prudential’ın mağdurlar için “en az 10 yıllık kredi izleme hizmetleri bedelini ödemesini” istiyor. Şikayette, bu tür bir izleme için cebinden ödeme yapılmasının mağdurlara yılda yaklaşık 200 dolara mal olacağı belirtiliyor.
TD Ameritrade’e dava açıldı
Çarşamba günü David Schultz, 22 Ağustos civarında 3 Ağustos tarihli bir veri ihlali bildirimi aldığını bildirdikten sonra ABD Nebraska Bölgesi Bölge Mahkemesinde TD Ameritrade ve Schwab aleyhine toplu dava statüsü talebinde bulunan bir şikayette bulundu.
Charles Schwab’ın sahibi olduğu TD Ameritrade, Ağustos ayı başında 61.160 kişiye, MOVEit saldırıları nedeniyle Sosyal Güvenlik numaralarının, mali bilgilerinin ve “mali hesap numaraları veya kredi/banka kartı numaraları, hesaba ait güvenlik kodu, erişim kodu, şifre veya PIN ile birlikte.” Firma mağdurlara 24 ay ön ödemeli kredi ve kimlik hırsızlığı izleme hizmetleri sundu.
Şikayette Schultz, etkilenen müşterilerin “kimlik hırsızlığı, PII’larının değer kaybı, cepten yapılan harcamalar ve bu durumun etkilerini gidermek veya hafifletmek için makul olarak harcadıkları zamanların değeri şeklinde mevcut yaralanma ve zararlara maruz kaldıklarını” iddia ediyor. hassas ve son derece kişisel bilgilerine yetkisiz erişim, sızma ve bunun ardından cezai suiistimal.”
Dava, müşterilerin haklarının, TD Ameritrade’in verilerini korumak için “yeterli ve makul önlemleri bilinçli olarak uygulama ve sürdürme konusunda başarısız olması” nedeniyle ihlal edildiğini ve kurbanlara izinsiz giriş sonrasında bildirimde bulunmasının dokuz hafta sürdüğünü iddia ediyor. Dava, belirtilmemiş zararlar talep ediyor ve mahkemenin TD Ameritrade’in, ihlallerin daha iyi görülebilmesi için kayıt tutma ve izleme programlarının uygulanması ve bu çabaları dışarıdan bir firmanın 10 yıl boyunca izlemesi de dahil olmak üzere bilgi güvenliği uygulamalarını elden geçirmesini talep ediyor.
Davanın iddialarına yanıt veren Schwab, siber güvenlik ve bildirim uygulamalarının arkasında durduğunu söyledi.
Schwab tarafından yayınlanan bir açıklamada, “Genel ve nihai iddialar çoğu zaman doğruluk ve bağlamdan yoksundur” deniyor. “Odak noktamız müşterilerimizi korumaktır. Bunu sadece bu tür konularda onların yanında durarak değil, aynı zamanda onları etkileyebilecek her türlü olayı kapsamlı bir şekilde soruşturarak yapıyoruz. Bildirim uygulamalarımız, dünyayı müşterilerimizin gözünden görme misyonumuzla tutarlıdır ve Mevzuat yükümlülüklerimize uygun olarak.”
Kurban Sayısı Nerede Bitecek?
MOVEit saldırısı nedeniyle her gün yeni veri ihlali raporları gelmeye devam ederken, halihazırda 1.000’e yakın olan kurban sayısı artacak gibi görünüyor.
Çok sayıda soruşturma devam ediyor. Fransız Le Parisien gazetesinin haberine göre, bu haftanın başında Fransız hükümetine ait işsizlik kurumu Pôle Emploi, hizmet sağlayıcılarından biri olan Lüksemburg merkezli Majorel’in 10 milyon kişinin bilgilerini açığa çıkaran bir veri ihlalini araştırdığını duyurdu.
Majorel’in bir MOVEit kullanıcısı olduğu bildirilse de, ihlalin MOVEit sunucusuna bağlı olup olmadığı henüz belli değil.