Önde gelen ABD ticari bankası Truist, bir tehdit aktörünün şirketin bazı verilerini bir bilgisayar korsanlığı forumunda satışa sunmasının ardından Ekim 2023’te gerçekleşen bir siber saldırıda sistemlerinin ihlal edildiğini doğruladı.
Merkezi Charlotte, Kuzey Carolina’da bulunan Truist Bank, SunTrust Banks ve BB&T’nin (Şube Bankacılık ve Güven Şirketi) Aralık 2019’da birleşmesinden sonra kuruldu.
Şu anda toplam varlıkları 535 milyar dolar olan ilk 10 ticari banka arasında yer alan Truist, tüketici ve küçük işletme bankacılığı, ticari bankacılık, kurumsal ve yatırım bankacılığı, sigorta, varlık yönetimi ve ödemeler dahil olmak üzere geniş bir hizmet yelpazesi sunmaktadır.
İlk olarak DarkTower istihbarat analisti James Hub tarafından tespit edildiği üzere, bir tehdit aktörü (Sp1d3r olarak bilinir), 65.000 çalışana ait bilgileri içeren çalıntı veriler olduğunu iddia ettiği verileri 1 milyon dolara satıyor.
BleepingComputer bu iddiaları bağımsız olarak doğrulayamasa da, verilerin aynı zamanda isimler, hesap numaraları, bakiyeler ve IVR fon transferi kaynak kodunu içeren banka işlemlerini de içerdiği iddia ediliyor.
Bir Truist Bank sözcüsü, tehdit aktörünün iddiaları hakkında yorum yapması istendiğinde BleepingComputer’a “Ekim 2023’te, hızla kontrol altına alınan bir siber güvenlik olayı yaşadık” dedi.
“Dışarıdan gelen güvenlik danışmanlarıyla birlikte kapsamlı bir araştırma yürüttük, sistemlerimizin güvenliğini sağlamak için ek önlemler aldık ve geçen sonbaharda az sayıda müşteriyi bilgilendirdik.
Sözcü, bunun devam eden Snowflake saldırılarıyla bağlantılı olup olmadığı sorulduğunda, “Bu olayın Snowflake ile bağlantısı yok. Açık olmak gerekirse, şirketimizde Snowflake olayı olduğuna dair hiçbir kanıt bulamadık” dedi.
Truist Bank sözcüsü, “Sistemlerimizin ve verilerimizin korunmasına yardımcı olmak için kolluk kuvvetleriyle ve dışarıdan siber güvenlik uzmanlarıyla düzenli olarak çalışıyoruz” diye ekledi.
“Ekim 2023 olayıyla ilgili devam eden soruşturmadan elde edilen yeni bilgilere dayanarak, başka müşterileri de bilgilendirdik. Şu anda bu olaydan kaynaklanan hiçbir dolandırıcılık belirtisi bulamadık.”
Aynı tehdit aktörü, 34.000.000 müşteri ve çalışan e-postası ile Cylance müşterilerine, ortaklarına ve çalışanlarına ait kişisel olarak tanımlanabilir bilgileri içerdiği iddia edilen veritabanları da dahil olmak üzere siber güvenlik şirketi Cylance’ten çalınan verileri 750.000 dolara satıyor.
Cylance, bunların “üçüncü taraf bir platformdan” çalınan eski veriler (2015-2018 arası) olduğunu belirterek iddialarının meşruluğunu doğruladı.
Sp1d3r ayrıca daha önce otomotiv satış sonrası parça tedarikçisi Advance Auto Parts’a ait olan ve Advance’in Snowflake hesabını ihlal ettikten sonra çalınan 3 TB veriyi aynı hack forumunda satışa sunmuştu.