Financial Times Pazar günü, organize suç gruplarının Revolut’un ödeme sistemlerindeki bir kusurdan yararlanarak şirketin parasından 20+ milyon doları çaldığını bildirdi.
Revolut’un siber güvenlik sorunları
Revolut, dünya çapında 30 milyondan fazla müşteriye çeşitli hizmetler sunan özel bir finansal teknoloji şirketidir. Merkezi Londra’dadır ve Litvanya Bankası (AB içinde) tarafından lisanslanır ve düzenlenir.
Eylül 2022’de şirket, dünya çapında 50.150 müşteriyi etkileyen bir veri ihlali yaşadı: Saldırganlar bu müşterilerin adlarını, adreslerini, e-posta adreslerini, telefon numaralarını, ödeme kartı verilerinin bir kısmını ve hesap ayrıntılarını ele geçirdi.
Birkaç gün sonra, bazı Revolut kullanıcıları çevrimiçi olarak, kişisel ve finansal bilgileri çalmayı amaçlayan kimlik avı amaçlı SMS mesajları almaya başladıklarından şikayet ettiler.
Financial Times’ın isimsiz kaynaklarına göre, yeni ortaya çıkan nakit gaspı bundan önce, 2022’nin başlarında gerçekleşti.
Revolut ödeme sistemlerindeki kusur boşluk yarattı
İş dünyası yayını, “Sorun, Avrupa ve ABD ödeme sistemleri arasındaki farklılıklardan kaynaklanıyordu; bu, belirli işlemler reddedildiğinde Revolut’un yanlışlıkla hesaplara kendi parasını vererek iade edeceği anlamına geliyordu.”
Suçlular, bireyleri reddedilecek pahalı satın almalar yapmaya “teşvik ettiler”, ancak kusur, Revolut’un yanlışlıkla hesaplara geri ödeme yapmasına neden oldu.
Görünüşe göre bu yoğun dolandırıcılık çabası, şirket bunun olduğunu fark edip boşluğu kapatana kadar birkaç ay sürdü.
FT, keşfin “ABD’deki ortak bir bankanın fintech’e beklenenden daha az nakit tuttuğunu bildirmesi” sonrasında gerçekleştiğini ve devam eden dolandırıcılık planının zamanında ortaya çıkarılmamasının Revolut’a 20 milyon dolardan fazlaya mal olduğunu söylüyor. (Para, müşterilerin hesaplarından değil, şirketten çalındı.)
“Finansal kuruluşlar, güvenlik söz konusu olduğunda olgun olma eğilimindedir. Bununla birlikte, bu olayın da gösterdiği gibi, kontrollerde ve süreçlerde güvenlik açıkları veya boşluklar oluşmaya devam edebilir,” dedi güvenlik araştırmacısı ve Picus Security’nin kurucu ortağı Dr.
“Finansal kayıp için hiçbir departmanın nihai sorumluluğu taşımadığı bir durum olabilir. BT ve siber güvenlik departmanı, sistemindeki mantıksal güvenlik açıklarını düzenli olarak kontrol ederek bunu engellemiş olabilir. Finans departmanı işlemlerdeki tutarsızlığı daha erken tespit edebilirdi. Risk ve Uyum departmanı da düzenli denetim sırasında bu tür bir düzensizliği tespit etmiş olabilir.”
“Şirketlerin alabileceği önleyici tedbirler var. Düzenli denetimler ve sistem kontrolleri, tüm kusurları veya tutarsızlıkları hızlı bir şekilde belirleyecektir. Şirketin farklı sistemleri arasında uygun senkronizasyon ve iletişim de hayati önem taşıyor” dedi.
“Bu, bir veri ihlali veya fidye yazılımı kampanyasının tipik bir siber suç hikayesi değil, ancak güvenlik sistemlerini güçlendirmek ve gelişmiş dolandırıcılık tespit tekniklerini uygulamak bu olayları önleyebilir. Aynı şekilde, en kötüsünün gerçekleşmesi durumunda, tüm işletmeler bu tür olayları zamanında tespit etmek ve bunlara tepki vermek için verimli bir olay müdahale planı oluşturmalıdır.”
Revolut, rapor hakkında henüz kamuoyuna açıklama yapmadı.