Dolandırıcılık Yönetimi ve Siber Suç , Coğrafi Odak: Asya , Coğrafi Özel
Suçlama Oyununda Kaybolan Milyonlarca Star Health Müşterisinin Veri Gizliliği ve Güvenliği
Jayant Chakravarti (@JayJay_Tech) •
30 Ekim 2024
Hint sağlık sigortası devi Star Health and Allied Insurance Company, yakın zamandaki bir veri ihlaliyle ilgili her türlü yanlış davranıştan dolayı bilgi güvenliği şefini temize çıkardı, ancak yüksek riskli suçlama oyununun ötesinde, verileri çalınan 31,2 milyon müşteri için görünürde net bir çözüm yok. ele geçirildi ve karanlık ağa sızdırıldı.
Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler
Sigorta şirketi Pazartesi günü borsaya yaptığı açıklamada, harici bir siber güvenlik firması tarafından yürütülen bağımsız bir adli soruşturmanın, şirketin bilgi güvenliği sorumlusu Amarjeet Khanuja’nın müşterilerin kişisel ve sağlık bilgilerinin sızdırılmasında herhangi bir rolü olmadığını tespit ettiğini söyledi. .
Soruşturma, Khanuja’daki Star Health müşterilerinin bilgilerini yaklaşık 43.000 dolarlık kripto para karşılığında “satın aldığını” iddia eden bir bilgisayar korsanının, Khanuja ile yaptığı konuşmaları uydurduğunu ve bunları veri sızıntısı sitesinde yayınladığını ortaya çıkardı.
Sigorta şirketi Ekim ayı başında “belirli verilere yetkisiz ve yasa dışı erişimle sonuçlanan hedefli, kötü niyetli bir siber saldırıyı” araştırdığını ancak CISO’nun bir kısmında yanlış bir davranış olduğuna dair kanıt bulamadığını duyurdu (bkz: Hacker’ın CISO Hakkındaki İddiaları CISO’nun Odak Noktasıdır) Yıldız Sağlığı Sondası).
Bir sözcü, “CISO’muzun soruşturmada gerektiği gibi işbirliği yaptığını ve bugüne kadar onun tarafından herhangi bir yanlış davranış bulgusuna ulaşamadığımızı kategorik olarak belirtmek istiyoruz” dedi. “Tehdit aktörünün panik yaratmaya çalıştığını bildiğimiz için mahremiyetine saygı gösterilmesini talep ediyoruz.”
Şirket Pazartesi günü Bombay Menkul Kıymetler Borsası’na yaptığı açıklamada, üçüncü taraf ihlal soruşturmasının sonuçlanmasının ardından risk yönetimi ve BT komitelerinin bulgular hakkında yönetim kurulunu bilgilendirdiğini ve şirketin bilgi güvenliği duruşunu geliştirmek için ek önlemler önerdiğini söyledi. Baş risk yetkilisi ayrıca şirket tarafından gerçekleştirilen bir güvenlik açığı değerlendirmesini, sızma testi sonuçlarını ve satıcılara yönelik bir güvenlik değerlendirmesini paylaştı.
Star Health soruşturmasını tamamlarken şirket, Madras Yüksek Mahkemesi’nde, başlangıçta olayla ilgili sessiz kalan şirket ile çalınan müşteri bilgilerini satmaya karar veren kendisine xenZen adını veren bir tehdit aktörü arasındaki hukuki mücadelede davaya karışıyor. Telegram’daki botlar aracılığıyla 150.000 dolara kadar.
xenZen daha önce Information Security Media Group’a, Khanuja ile şifreli mesajlaşma hizmeti Tox üzerinden haftalarca iletişim kurduğunu ve CISO’nun kendisine şirketin müşteri veritabanını 28.000 $ karşılığında satmayı teklif ettiğini söyledi. Bilgisayar korsanı, ikilinin Star Health müşterilerinin sigorta talep verilerinin 15.000 $ karşılığında satışı için başka bir anlaşma yaptığını iddia etti, ancak CISO daha sonra anlaşmadan vazgeçti ve şirketin üst yönetimi anlaşmaya dahil olmak istediği için xenZen’den 150.000 $ daha ödemesini talep etti.
Khanuja, xenZen’in haberini kamuya açık bir şekilde yalanlamasa da Star Health, daha önce olay hakkında Hindistan Sigorta düzenleyicisi IRDAI’ye bilgi vermiş olmasına rağmen, siber güvenlik olayını araştırdığını kamuoyuna bildirmek için Ekim ayı başlarına kadar bekledi.
Şirketin uzun süreli sessizliği bilgi güvenliği camiasında ve Star Health müşterileri arasında büyük kafa karışıklığına neden olurken, hacker düzenli olarak haber medyası ve bilgi güvenliği uzmanlarıyla etkileşime girdi ve Khanuja ile yaptığı e-posta alışverişlerinin ekran kayıtlarını sundu. Star Health, bu ekran kayıtlarının sahte olduğunu söyledi.
Bazıları olayın gizliliğini eleştirdi. Mumbai merkezli siber suç araştırmacısı ve V4WEB Siber Güvenlik kurucusu Ritesh Bhatia, ISMG’ye Star Health’in olay sonrasındaki davranışının, şirketin milyonlarca müşterinin çıkarlarını korumaktan çok itibarını korumayı amaçladığı izlenimini verdiğini söyledi (bkz: Yıldız Sağlığı İhlali: İtibar Hasta Mahremiyetini gölgede bırakır mı?).
Star Health, siber güvenlik olayının ayrıntılarını Ekim ayında yayınladı ve hacker’ın çalınan verileri iade etmesi karşılığında 68.000 dolar fidye talep ettiğini iddia etti ancak Eylül ayında Star Health ile anlaşan bir siber güvenlik şirketi, 24 Eylül’de hacker’ın bu olayı uydurduğunu duyurdu. Khanuja ile olan etkileşimlerinin kanıtı.
Singapur merkezli şirket CloudSEK, bilgisayar korsanının e-postasının “öğeyi inceleme” işlevi içindeki HTML kodunu, bazı e-postaların Khanuja’nın e-posta adresinden gelmiş gibi görünmesini sağlayacak şekilde değiştirmiş olabileceğini söyledi. Bilgisayar korsanı ayrıca müşteri verilerini CISO’dan satın almak yerine çalmak için “herkese açık kimlik bilgilerini kullanmış ve API’deki bir IDOR güvenlik açığından yararlanmış” olabilir.
Firma, “Tehdit aktörü Çin’e ait ve Hintli kitleler arasında kaos yaratmak ve dezenformasyon yaymak için jeopolitik amaçlara sahip” dedi.
CloudSEK bulgularını yayınladıktan sonra, Jason Parker adını kullanan ve Birleşik Krallık merkezli bir BT güvenliği uzmanı olduğunu iddia eden bir X kullanıcısı, Star Health’in CISO’nun katılımını araştırmak için şirketle görevlendirilmesi göz önüne alındığında şirketin bulgularını ve tarafsızlığını sorguladı.
Parker, CloudSEK’in, bilgisayar korsanının bir e-posta adresini sahteleştirmek için inceleme öğesini değiştirmiş olabileceği yönündeki sonucunun, bilgisayar korsanı tarafından yayınlanan bir ekran kaydında e-posta adresinin canlı olarak yüklenmesi nedeniyle başarısız olduğunu söyledi. Kanıtlar ayrıca CloudSEK’in, bilgisayar korsanının videodaki sayfayı yenilemediği yönündeki iddiasını da yalanladı; çünkü hareketli öğeler bunun düzenlenmiş bir ekran görüntüsü değil, dinamik bir sayfa olduğunu açıkça gösteriyordu. CloudSEK CEO’su Rahul Sasi daha sonra Parker’ı güvenlik araştırmacısı kılığına girmiş xenZen’den başkası olmamakla suçladı.
Sinirli bir bilgisayar korsanının bir siber güvenlik liderini suçlamak için büyük çaba harcaması, sigorta devinin siber güvenlik duruşunu iyileştirmeye yönelik adımları gecikmeli olarak duyurması ve güvenlik araştırmacıları arasındaki sosyal medya savaşının uzun süren destanı, Star Health’in bu ihlali yetkililere ifşa etmesi durumunda önlenebilirdi. Ağustos ayında halka açıldı ve verilerinin kötüye kullanılmasını önleyecek adımları duyurdu.
Bir CISO’nun ve şirketinin itibarını korumaya yönelik yoğun mücadelenin ortasında, on milyonlarca müşterinin veri güvenliği ve gizlilik hakları bir kenara bırakıldı.