Perpetual Limited, üçüncü taraf bir sağlayıcıdaki bir güvenlik olayıyla ilgili kılavuzunu revize etti ve şimdi “sınırlı miktarda kişisel bilginin tehlikeye atıldığını” söylüyor.
ASX listesinde yer alan finans firması – ve özellikle müşterileri – self servis portalı da dahil olmak üzere müşteriye yönelik hizmetlerde uzun süreli bir kesinti şeklinde, olayın etkilerinden Haziran ayının büyük bir bölümünde zarar gördü.
Ancak olay bu hafta, şirketin “hassas müşteri verileri güvenli ve şifreli kalırken” bazı “kişisel bilgilere” erişildiğini kabul etmesiyle arttı.
Şirket bulgularını olay için özel olarak kurduğu bir alt sitede açıkladı.
Perpetual, SSS yanıtlarında “Bazı kişisel bilgilere üçüncü taraf sisteminden erişildiğini fark ettik” dedi.
“Araştırmamız, ele geçirilmiş olabilecek iki ayrı ve ilgisiz dosya buldu: adlar, soyadlar ve adresleri içeren bir dosya ve adlar ve adreslerle bağlantısı olmayan, yani bunları eşleştirmenin zor olduğu banka hesap bilgilerini içeren ikinci bir ayrı dosya. ilk dosyada görünen adlar ve adreslerle birlikte banka hesabı ayrıntıları.
Perpetual, etkilenen müşterileri bilgilendirdiğini söyledi.
İhlal edilen şirket, Perpetual’a bir birim kayıt sistemi sağlar; finans şirketi bunun “bazı fonlarımıza yıllık hesap özeti oluşturma, yatırımcı/üye işlemlerini kaydetme ve fonlardaki yatırımcı/üye varlıklarının kaydını tutma gibi yönetim hizmetleri” gerçekleştirmek için kullanıldığını açıkladı.
Perpetual, “Kayıt sağlayıcı, bu tür hizmetleri sağlamak için yatırımcı/üye verilerini tutar” dedi.
Perpetual, olayın “herhangi bir şekilde yayılmasını önlemek” için bir önlem olarak kendi çekirdek sistemlerinden bazılarını devre dışı bıraktığını söyledi. Bu önlemlerin, olayın yalnızca üçüncü taraf sağlayıcıya aktarılmasına izin verdiğini söyledi.
Şirket ayrıca tedarikçi ve tedarik zinciri yönetişim düzenlemelerini savundu.
“Süreçlerinin ve kontrollerinin endüstri standartlarını karşıladığından veya aştığından emin olmak için üçüncü taraf sağlayıcıları düzenli olarak inceliyoruz” dedi.
“Sağlayıcıdaki güvenlik, kullanılabilirlik, gizlilik ve mahremiyetle ilgili temel BT kontrollerinin tasarımını ve etkinliğini yıllık olarak denetliyoruz.
“Şu anda devam eden restorasyon çalışmaları kapsamında ekstra adımlar attık. [to] sistemlerin yeni bir ortamda korunduğunu ve güvenli olduğunu kontrol edin ve doğrulayın.”