3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
ABD’nin En Büyük Kamu Emeklilik Firmasının 2,5 Milyon Müşterisi ve Temsilcisi Etkilendi
Mathew J. Schwartz (euroinfosec) •
23 Haziran 2023
Verileri çalmak için Progress Software’in MOVEit dosya aktarım ürünündeki sıfırıncı gün güvenlik açığını hedefleyen bir kampanyadan etkilenen kurbanların sayısı artmaya devam ediyor.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Amerika’nın en büyük emeklilik fonu Genworth Financial, saldırganların üçüncü taraf hizmet sağlayıcısı PBI Research Services’ı vurmasından sonra yaklaşık 2,5 ila 2,7 milyon müşterisinin ve temsilcisinin etkilendiğini bildirdi. PBI, MOVEit kullanıyor ve yazılım, Rusça konuşan bir fidye yazılımı grubunun yüzlerce kurbandan veri çalmak için yararlandığı ve milyonlarca kişiyi etkilediği anlaşılan sıfır günlük bir güvenlik açığı içeriyordu.
Richmond, Virginia’da bulunan Genworth, hayat sigortası, uzun vadeli bakım sigortası, ipotek sigortası ve emeklilik sigortası satıyor.
Genworth’un Perşembe günü Menkul Kıymetler ve Borsa Komisyonu’na sunduğu 8 binlik bir dosyada, PBI’nin MOVEit yazılımına yönelik saldırının, saldırganların Sosyal Güvenlik numaraları da dahil olmak üzere müşteriler ve sigorta acenteleri için kişisel verileri çalmasına olanak sağladığı bildirildi.
Merkezi Minneapolis’te bulunan PBI, sigorta şirketlerinin müşterilerin ne zaman öldüğünü belirlemelerini, tetiklemelerini ve ölüm tazminatlarını sağlamalarını gerektiren düzenleyici kurallara uymalarına yardımcı olur. Genworth, komisyonlar için raporlama sürecinin bir parçası olarak, yararlanıcıları ve vefat eden aracıları belirlemek için PBI’yı da kullandığını söyledi.
Perşembe günü, 2 milyondan fazla aktif üyeye hizmet veren Kaliforniya Kamu Çalışanları Emeklilik Sistemi, yaklaşık 770.000 üyesinin de PBI’ya yönelik saldırıdan etkilendiğini açıkladı. CalPERS, PBI’nin 6 Haziran’da ihlal hakkında bilgi verdiğini ve isimler, doğum tarihleri ve Sosyal Güvenlik numaraları dahil olmak üzere kişisel bilgilerin çalındığını söyledi. CalPERS mağdurları bilgilendirmeye başladı.
Problar Devam Ediyor
Genworth, ihlal uyarısını 16 Haziran’da PBI’dan aldı ve ardından iki kuruluş, saldırganın tam olarak hangi verileri sızdırdığını belirlemek için ortaklaşa bir soruşturma başlattı. Soruşturma devam ediyor.
Emeklilik fonu, mağdurların yanı sıra federal ve eyalet düzenleyicilerini mümkün olan en kısa sürede uyarma sözü verdi. Şirketin veri ihlaliyle ilgili SSS, “Etkilenen kişilere kredi izleme ve kimlik hırsızlığı koruma hizmetleri sunulacak” diyor.
Şimdiye kadar, soruşturma, hayat sigortası ve yıllık ödeme müşterilerinin “önemli bir kısmına” ilişkin şu verilerin çalındığını ortaya çıkardı: Sosyal Güvenlik Numarası, ad, doğum tarihi, posta kodu, ikamet durumu ve poliçe numarası. Genworth, “Grubumuzdaki uzun süreli bakım ürünlerimizle ilgili hangi kişisel bilgilerin etkilenmiş olabileceğini anlamak için çalışıyoruz” dedi.
Genworth ürünlerini satan acenteler için, ifşa edilen bilgiler arasında acentenin kimlik numarası, adı, doğum tarihi ve tam adresi yer alır.
Genworth, Progress Software’in MOVEit dosya aktarım yazılımını veya Fortra’nın GoAnywhere dosya aktarım yazılımını kullanmadığını söyledi. Clop fidye yazılımı grubu, her iki dosya aktarım ürünündeki farklı sıfır gün güvenlik açıklarını hedef alan büyük ölçekli saldırıların sorumluluğunu üstlendi. Clop düzenli olarak kripto-kilitleme kötü amaçlı yazılımı kullanırken, dosya aktarım yazılımı tedarik zinciri saldırılarının her ikisi de yalnızca veri hırsızlığı içeriyor gibi görünüyor.
GoAnywhere saldırıları 25 Ocak’ta başlamış gibi görünüyor ve ardından Fortra, 7 Şubat’ta istismar edilen güvenlik açığı için bir yama yayınladı. Clop, saldırılarda en az 130 kuruluşu vurduğunu iddia etti. Mağdurlar o zamandan beri federal mahkemede Fortra’ya karşı önerilen çok sayıda toplu dava davası açtı.
MOVEit saldırılarının çoğu, muhtemelen Amerika Birleşik Devletleri’ndeki uzun Anma Günü tatil hafta sonundan yararlanmak için 27-28 Mayıs civarında başlamış gibi görünüyor. Güvenlik uzmanları, saldırılar sırasında Clop’un yüzlerce kuruluştan veri çaldığından şüpheleniyor. Clop tarafından isimlendirilen veya veri ihlali bildirimleri yayınlayan kurbanlar arasında BBC, Boots, British Airways, Shell, ABD Enerji Bakanlığı ve Louisiana Motorlu Taşıtlar Dairesi bulunmaktadır.
PBI, MOVEit yazılımının 29 Mayıs’tan 30 Mayıs’a kadar saldırganlar tarafından vurulduğuna inanıyor. Şirket, istismar edilen güvenlik açığını gidermek için Progress Software tarafından 2 Haziran’da yayınlanan yazılım güncellemelerini uyguladığını söyledi. O zamandan beri Progress, yazılımda bulunan iki sıfır gün güvenlik açığını daha düzeltmek için güncellemeler yayınladı.
Clop, kendisine özel veri sızıntısı sitesinde kendisine fidye ödemeyen kurbanları listelemeye devam ediyor. Birden fazla devlet kurumu mağdur olduklarını söylese de, Clop verilerini yayınlamaktan kaçındı ve görünüşe göre en başta onlardan veri çalmadığını iddia ediyor.
Bu haftanın başlarında, OMV veri ihlalinden etkilenen bazı Louisiana sakinleri, Progress Software’i yeterli güvenlik veya izleme kontrollerini sağlamamakla suçlayarak federal mahkemede önerilen bir toplu dava davası açtı.