Veri Güvenliği, Finans ve Bankacılık, Sektöre Özel
İhlal Bildirimi Hizmet Ayrıntıları Eşler Arası Borç Verme Piyasası Mağdur Sayısı
Mathew J. Schwartz (euroinfosec) •
17 Ekim 2025
Bilgisayar korsanlarının, eşler arası kredi verme pazarı Prosper’dan 17 milyondan fazla kişiye ait kişisel bilgileri çaldığı görülüyor.
Çalınan verilerin bir kopyası Ücretsiz bir ihlal bildirim hizmeti olan Have I Been Pwned tarafından elde edilen veriler, bilgisayar korsanlarının 17,6 milyon benzersiz e-posta adresi ele geçirdiğini gösteriyor.
Açığa çıkan veriler arasında bir müşterinin veya potansiyel müşterinin adı ve doğum tarihi, fiziksel adresler ve e-posta adresleri dahil iletişim bilgileri, Sosyal Güvenlik numaraları ile bireyin kredi durumu, istihdamı ve gelirine ilişkin ayrıntılar yer alıyordu.
Avustralyalı geliştirici Troy Hunt tarafından yönetilen Have I Been Pwned, ifşa edilen e-posta adreslerinin 2,8 milyonunun hizmet için yeni olduğunu, yani hiçbir zaman bir veri ihlaline maruz kalmadıklarını veya en azından bir tanesinin kamuya açıklandığını söyledi. E-posta adreslerinin geri kalan %84’ü daha önce bildirilen ihlallerde ortaya çıktı.
Çevrimiçi kredi platformunu işleten fintech şirketi San Francisco merkezli Prosper Marketplace’in bir sözcüsü, Information Media Group’a Hunt’ın ihlal sayısından haberdar olduğunu ancak “iddiasını doğrulayamadığımızı” söyledi.
Hangi verinin etkilendiğini ve kime ait olduğunu belirlemeye yönelik soruşturma devam ediyor” dedi. “Bu olayı çözmek en büyük önceliğimizdir ve müşterilerimizle uygun şekilde ek bilgi paylaşmaya kararlıyız.”
2005 yılında kurulan Prosper, eşler arası kredi platformunun 2,3 milyondan fazla kişiye toplamda 29 milyar dolar değerinde kredi sağladığını söylüyor. Şirket ayrıca borç konsolidasyonu, kredi kartları, yatırım araçları, konut kredisi limitlerinin yanı sıra ev, araba ve tıbbi krediler de sunmaktadır.
Nisan ayında gerçekleştirilen 350 milyon dolarlık yatırım turu, şirkete yaklaşık 20 milyar dolar değer kazandırdı.
Prosper ilk olarak Eylül ortasında, saldırganların verileri çalmasının ardından 2 Eylül’de engellediği anlaşılan bir saldırıyı tespit edip yanıt verdiği konusunda uyarıda bulunmuştu. Şirket, saldırının ne zaman başladığını veya nasıl keşfedildiğini belirtmedi.
Şirket, 17 Eylül’de yayınlanan ilk ve son ihlal bildiriminde, “Müşteri hesaplarına ve fonlarına izinsiz erişime dair hiçbir kanıt yok ve müşteriyle yüz yüze operasyonlarımız kesintisiz olarak devam ediyor” dedi. “Hesapları sürekli izliyoruz ve müşterilerin fonlarını korumak için güçlü önlemlerimiz var.”
İhlalin ardından şirket, daha güçlü izleme ve güvenlik uyarısı da dahil olmak üzere ek “güvenlik kontrolleri ve önlemleri” uyguladığını söyledi.
İhlal bildirimi hem müşterileri hem de potansiyel müşterileri bilgilendirdi: “Müşteri bilgilerini ve başvuru sahibi verilerini saklayan şirket veritabanlarında yapılan yetkisiz sorgulamalar da dahil olmak üzere, Sosyal Güvenlik numaraları da dahil olmak üzere gizli, özel ve kişisel bilgilerin elde edildiğine dair kanıtımız var.”