Finans ve Bankacılık, Sektöre Özel
2021 Ehliyet Numarası Hırsızlığı Dalgasına Bağlı Cezalar
David Perera (@daveperera) •
25 Kasım 2024
New York eyalet yetkilileri, 2021’in başlarında meydana gelen siber olaylar dalgası sırasında müşterilerin ehliyet numaralarını korumadığı için otomobil sigortası devi Geico’ya 9,75 milyon dolar para cezası verdi.
Gezginler ayrıca, bilgisayar korsanlarının 2021 ortalarında lisans numaralarını çalmak için çalıntı kimlik bilgilerini kullanmasının ardından 1,55 milyon dolar ödeyecek.
Eyalet başsavcılığı ile birlikte cezaları değerlendiren New York Finansal Hizmetler Departmanı’ndaki araştırmacılar, her iki şirketteki olaylarda da bilgisayar korsanlarının dahili sistemleri şifrelenmemiş veriler göndermesini tetiklediğini buldu. Bilgisayar korsanları, yeni koronavirüs salgını sırasında hileli işsizlik başvurularında bulunurken çalınan lisans numaralarını kullandı (bkz.: Geico, Ehliyet Numaralarının Web Sitesinden Çalındığını Söyledi).
Müfettişler, bilgisayar korsanlarının Ocak 2021’de Geico sistemlerinden yararlanmaya başladıklarını ve ilk olarak fiyat teklifi almak için sigorta şirketinin çevrimiçi aracını kullandıklarını söyledi. O dönemde Geico, potansiyel müşterilerin adı, adresi ve doğum tarihi gibi verileri aldıktan sonra tam lisans numaralarını sağlamak için üçüncü taraf bir form ön doldurma sağlayıcısı kullanıyordu.
Ayrıca bakınız: Dijital Operasyonel Dayanıklılığın Oluşturulması: DORA’nın 5 Temeli
Hack’i keşfettikten sonra Geico bu uygulamayı durdurdu; ancak hackerlar, sigortacının otomatik talep web sitesinin lisans numaralarını bir talep alındı mesajıyla ilettiğini keşfettikten sonra lisans numaralarını almak için yeniden bir araya geldi. Bilgisayar korsanları, yeni hesaplar oluşturmak için çalıntı kimlikleri ve sahte banka hesabı bilgilerini kullandılar ve düzenlenmemiş düz metin olarak gönderilen lisans numarasını almak için derhal bir talepte bulundular.
Geico, sistemlerini yeniden değiştirerek başka bir tehdit aktörü yeniliğine yol açtı. Bilgisayar korsanları, sigorta acenteleri tarafından kullanılan ve Geico otomobil sigortası satın alma sayfasının kaynak kodunda açığa çıkan bir API’ye erişebileceklerini keşfetti. Müfettişler, kodun kamuya açıklanması için “hiçbir neden olmadığını” söyledi. Şubat ayında bilgisayar korsanları API sorgularını otomatikleştirmeyi öğrendi ve bu da 24 Şubat 2021 ile 1 Mart 2021 arasında günde 10.000 ila 25.000 arasında müşteri kaydının çalınmasına neden oldu. Sigorta şirketi, bir gasp talebi alana kadar saldırıyı tespit edemedi. bilgisayar korsanları – ve Geico’ya tehdit aktörleriyle kişisel bir anlaşmazlığı olduğunu söyleyen bir kişiden gelen ayrı bir mesaj. Bu kişi, saldırganların verileri nasıl çaldığını ve saldırının nasıl önlenebileceğini şirkete anlattı.
Hazırlanan bir açıklamada Geico sözcüsü, sigorta şirketinin olayları New York yetkililerine bizzat bildirdiğini ve o zamandan beri “bu dolandırıcıların daha fazla istismarını önlemek için sistemlerinde iyileştirmeler yaptığını” söyledi.
Travellers’taki veri ihlali aynı şekilde bağımsız sigorta acenteleri tarafından kullanılan bir portala düz metin olarak gönderilen sürücü belgesi numaralarını da içeriyordu. Tehdit aktörleri, Nisan 2021’de portala erişmek için güvenliği ihlal edilmiş oturum açma kimlik bilgilerini kullandı; yetkililer, Travellers’ın Kasım ayında üçüncü taraf ön doldurma veri sağlayıcısından gelen bildirimin ardından bunu öğrendiğini söyledi.
Travellers’ın bir sözcüsü, şirketin olayın “sınırlı sayıda bağımsız acentenin çalınan kimlik bilgilerini” içerdiğini vurguladığını söyledi ve “Travellers’ın iç sistemlerinin bu olaydan etkilenmediğinin dikkate alınmasının önemli olduğunu” ekledi. Her iki sigorta şirketi tarafından imzalanan muvafakatnameler, firmalara, özel bilgilerin envanterinin tutulması ve verilerin korunmasının sağlanması da dahil olmak üzere siber güvenlik programlarını güçlendirme taahhüdünde bulunuyor. New York Başsavcısı Letitia James, “Veri ihlalleri ciddi sahtekarlığa yol açabilir ve bu nedenle tüm şirketlerin siber güvenlik ve veri korumayı ciddiye alması önemlidir” dedi.