Utah merkezli bir sağlık tasarruf hesabı (HSA) sağlayıcısı olan HealthEquity, ABD genelinde 4,5 milyon müşteriyi etkileyen bir veri ihlalini açıkladı. Olayın, üçüncü bir tarafça tutulan bir veri deposunun hacklenmesinden kaynaklandığını bir sözcü doğruladı.
Şirket, duyurusunda bir bilgisayar korsanının müşteri verilerini içeren “çekirdek sistemlerimizin dışında yapılandırılmamış bir veri deposuna” girmeyi başardığını ve çeşitli türde hırsızlıklar gerçekleştirdiğini belirtti. kişisel olarak tanımlanabilir bilgiler (PII). Sözcü, depolama alanının üçüncü taraf bir satıcı tarafından yönetildiğini doğrulasa da, işlem platformları ve entegrasyonlar da dahil olmak üzere dahili sistemlerin etkilenmediğini belirtmenin ötesinde, topografya veya tedarik zinciri etkileri hakkında daha fazla ayrıntı vermeyi reddetti.
Çalınan PII, müşteriye göre değişen bir fayda kayıt bilgisi karışımı içeriyordu. Bu karışım, isim, adres, telefon numarası, çalışan kimliği, işveren, Sosyal Güvenlik numarası ve bakmakla yükümlü olunan kişi bilgilerini içerebilirdi. Toplamda, soygun dolandırıcılara bir sosyal mühendislik bilgisi hazinesi sunuyor.
KnowBe4’te güvenlik farkındalığı savunucusu olan Erich Kron, gönderdiği e-posta açıklamasında, “Kişinin özel olduğunu ve sadece sağlık profesyonelleri tarafından bilindiğini düşündüğü bir prosedür veya teste atıfta bulunarak, kötü niyetli kişiler potansiyel kurbanlarla daha kolay güven oluşturabilirler” dedi.
Bekleme Süresi ve Tepki Anatomisi
İlk erişim 9 Mart’ta gerçekleşti ancak resmi olarak ancak 26 Haziran’da bildirildi. bir duyuruya göre Maine Başsavcılığı’na sunuldu. Ancak, siber saldırganlar için bekleme süresi Şirket sözcüsüne göre, keşiften önceki zaman dilimi, bu zaman çizelgesinin önerdiğinden “çok daha dar”dı.
Saldırganlar aylarca değil, iki haftadan biraz daha uzun bir süre fark edilmeden kalmış gibi görünüyor. Bir sorun olduğuna dair ilk ipucu, 25 Mart’ta gelen bir sistem anormalliği uyarısıydı. HealthEquity, satıcısından uyarıyı aldıktan sonra hemen harekete geçtiğini, sorunu hızla çözdüğünü ve ardından 10 Haziran’a kadar süren “kapsamlı bir teknik soruşturma ve … veri adli bilimi” çalışması başlattığını söyledi.
Bunu, 26 Haziran’da tamamlanan veri hırsızlığının doğrulanması izledi. Bundan sonra, şirket nihayet eyalet yetkililerine bildirimlerde bulunabildi ve ayrıca ABD Menkul Kıymetler ve Borsa Komisyonu’na bildirimde bulundu. bunu yapmak zorunlu değildi.
Şirket, Dark Reading ile paylaşılan bir bildiride, “Üçüncü taraf tedarikçimizde ilk kez bir anormallik keşfettiğimizden beri hemen, proaktif ve ihtiyatlı bir eylemde bulunduk” dedi. “Bu, sorunu hızla çözmeyi, araştırmak için dışarıdan ve içeriden uzmanlardan oluşan bir ekip oluşturmayı ve yanıt için hazırlanmayı içeriyordu.”
Sözcü ayrıca, olay müdahalesinin devam eden bir çaba olduğunu belirtti: HealthEquity şu anda ortakları, müşterileri ve üyeleri bilgilendirme sürecinde ve gelecekteki olayları önlemek için tedarikçileriyle birlikte çalışıyor.
Harici Veri Depolarını Koruma
Bu durumda, saldırganların eriştiği “çekirdek sistemlerin dışındaki” depo türü, bir üçüncü taraf bulut sağlayıcısı. Ancak kuruluşların koruma konusunda endişelenmesi gereken tek harici depolama türü bu değildir. Veriler ayrıca bir dahili olarak bakımı yapılan konteynerveya hatta gölge veritabanları çalışanların üretkenlik için kendi başlarına sürdürdüğü. Araştırmacılar, her durumda, HealthEquity tipi olayları önlemek için kapsamlı bir veri koruma stratejisinin gerekli olduğunu belirtiyorlar; bu verilerin nerede olduğuna dair görünürlük elde etmekle başlamak gerekiyor.
Kron, “Bu, en yaygın sistemlerin dışında verilerin korunmasına dair bir derstir,” dedi. “Çalışanların, BT ve güvenlik personelinin bilgisi olmadan bilgi toplamak ve işlemek için elektronik tablolar gibi araçlar kullandığını bulmak alışılmadık bir durum değildir. Bu genellikle kötü amaçlı değildir, ancak işi daha kolay ve daha verimli hale getirmek için yapılır, ancak verilerin bu ek kopyalarını, bilinmiyorlarsa korumak zordur.”
Comforte AG’de siber güvenlik uzmanı olan Erfan Shadabi, kuruluşların bu tür hibrit depolama ayak izlerinde verileri güvence altına almak için süreçlerinin olduğundan emin olmaları gerektiğini söylüyor. Buna “kapsamlı inceleme süreçleri, düzenli denetimler ve sıkı güvenlik standartlarını uygulamaya yönelik sağlam sözleşme anlaşmaları” dahil olabilir, dedi.
“Şifreleme, belirteçleme ve güvenli erişim kontrolleri gibi veri merkezli güvenlik tekniklerine öncelik vermek, hassas bilgileri etkili bir şekilde korumak için önemlidir” diye ekledi.
Özellikle üçüncü taraf riski için, “kuruluşlar güvenlik duruşlarının üçüncü taraf satıcılarının uygulamalarıyla karmaşık bir şekilde bağlantılı olduğunu kabul etmelidir” diye ekliyor. “Şirketler yalnızca ağın değil, verilerin kendisinin güvenliğini sağlamaya odaklanarak, ifşa riskini azaltabilir ve ihlaller meydana geldiğinde bunların etkisini sınırlayabilir.”