Unvanı Borç Veren TMX Artık Ödeme Kartı Verilerinin İhlalden Çalındığını Söyledi


İhlal Bildirimi, Güvenlik Operasyonları

5 Milyon Borçlu Şubat İhlalinin Daha Önce Açıklanandan Daha Kötü Olduğunu Bildirdi

Mathew J. Schwartz (euroinfosec) •
24 Ağustos 2023

Unvanı Borç Veren TMX Artık Ödeme Kartı Verilerinin İhlalden Çalındığını Söyledi
Resim: Shutterstock

Yüksek faizli kredi veren TitleMax’in ana şirketi, yaklaşık 5 milyon müşterisini, kendilerini etkileyen bir veri ihlalinin önceden inanıldığından daha kötü olduğu ve saldırganların ayrıca ödeme kartı verilerini ve kart güvenlik kodlarını da çaldığı konusunda uyarıyor.

Ayrıca bakınız: Tedarik Zinciri Riskinin Değerlendirilmesi ve Azaltılması

Aynı zamanda TitleBucks, InstaLoan ve EquityAuto Loan markalarını da işleten Savannah, Georgia merkezli TMX Finance Corporate Services’in 18 eyalette 1.000’den fazla lokasyonu bulunuyor.

30 Mart’ta özel sektöre ait TMX, 4.822.580 müşteriyi bilgisayar korsanlarının Şubat ayındaki 12 günlük süre boyunca kişisel bilgilerini çaldığı konusunda uyardı (bkz: Subprime Borç Veren Unvanı Hacking Olayıyla Maksimum Vuruş).

TMX tarafından Çarşamba gününden itibaren mağdurlara gönderilen revize edilmiş bir veri ihlali bildirimi, daha önce çalındığını belirttiği pasaport ve Sosyal Güvenlik numaraları da dahil olmak üzere çok sayıda kişisel bilginin ötesinde, saldırganların “kredi/banka kartı numaralarını birlikte” de çalmış olabileceğini belirtiyor. hesabın güvenlik kodu, erişim kodu, şifresi veya PIN’i ile birlikte.”

Tapu sahibi yeni bilginin nasıl elde edildiğini söylemedi. Çoğu durumda, bu tür uyarılar, çalınan ödeme kartı verilerinin kaynağına kadar yol açtığı dolandırıcılığı takip eden ödeme kartı veren kuruluşlardan gelir.

TMX’in en son ihlal bildirimi, etkilenen bireylerin sayısını da revize ederek 4.895.817’ye çıkardı. TMX daha önce 13 Şubat’ta “sistemlerimizde şüpheli etkinlik” tespit ettiğini bildirmişti. Araştırma için çağrılan üçüncü taraf bir olay müdahale firması, izinsiz girişin “Aralık 2022’nin başlarında başlamış” gibi göründüğünü tespit etti.

TMX ve markaları, genellikle bir müşterinin bir arabayı veya motosikleti teminat olarak göstermesini gerektiren tapu kredisi uygulamaları nedeniyle defalarca federal incelemeye tabi tutuldu. ProPublica tarafından Ocak ayında yapılan bir araştırma, TMX’in makul faiz oranlarına sahip olduğu iddia edilen kredilerin reklamını yaptığını ancak borçlanmanın gerçek yıllık maliyetinin %179’a kadar çıktığını ortaya çıkardı.

Saldırganların müşterilerin ödeme kartı verilerini nasıl elde ettiği net değil. Ödeme Kartı Sektörünün Veri Güvenliği Standardı, kuruluşların saklamayı tercih etmesi durumunda, tüm kart sahibi verilerinin hem aktarım sırasında hem de bekleme sırasında şifrelenmesini gerektirir. TMX, yorum talebine hemen yanıt vermedi.

30 Haziran itibarıyla Kimlik Hırsızlığı Kaynak Merkezi, etkilenen kişi sayısına göre TMX’in ihlalini yılın ilk yarısında bilinen sekizinci en büyük ABD veri ihlali olarak sıraladı.

Önceki CFPB İncelemesi

Ülkenin en büyük tapu kredi kuruluşu, çok faktörlü kimlik doğrulamanın yanı sıra güçlü şifre yönetimi de dahil olmak üzere “veri güvenliği olaylarına karşı koruma sağlamak için yeterli önlemleri” görmeyi beklediğini söyleyen Tüketici Mali Koruma Bürosu’nun ihlaliyle ilgili sorularla karşılaşabilir.

TMX’in, borç verme ve borç tahsilatı kurallarını ihlal etme konusunda şirketi “tekrar suçlu” olarak nitelendiren CFPB ile zaten zayıf bir geçmişi var. Düzenleyici, TMX’e 2016 yılında “kötü niyetli davranış” nedeniyle 9 milyon dolar para cezası verdi. Bu yılın başlarında CFPB, askeri ailelere faiz oranlarının “%36’lık yıllık faiz oranı tavanının neredeyse üç katı” üzerinden uygulanması da dahil olmak üzere tüketici haklarını ihlal ettiği için 10 milyon dolar daha para cezası verdi ve tüketicilere 5 milyon dolar ücret iadesi yapmasını emretti. .

Şirketin uygulamaları devlet tüketici koruma gruplarının da öfkesini çekti. Temmuz ayında ProPublica, iflas başvurusunda bulunan Georgia sakinlerinin hâlâ özellikle TitleMax aracılığıyla TMX kredilerini orijinal şartlarda geri ödemeye zorlandıklarını bildirdi. 2017 yılında TMX tarafından açılan bir davada federal temyiz mahkemesi, tapu kredisi endüstrisinin Georgia ve Alabama’daki rehin dükkanı kanunları kapsamında faaliyet göstermesi nedeniyle, TMX gibi şirketlerin “Bölüm 13 iflasında borçlulara sunulan korumalardan kaçabileceğine” karar verdi. ProPublica’nın bildirdiğine göre bunu düzenli olarak yapıyordu.





Source link