Enterprise Software Dev Workday, güvenliği ihlal edilmiş bir üçüncü taraf müşteri ilişkileri yönetimi (CRM) platformu aracılığıyla çalışan bilgilerine yetkisiz erişimi içeren bir güvenlik olayı açıklamıştır.
Birden fazla büyük kuruluşu hedefleyen daha geniş bir sosyal mühendislik kampanyasının bir parçası olarak keşfedilen ihlal, kurumsal yazılım sektöründeki tedarik zinciri güvenlik riskleri konusunda endişeleri artırmıştır.
Olay Ayrıntıları ve Kapsam
Workday’ın resmi açıklamasına göre, tehdit aktörleri sofistike bir sosyal mühendislik kampanyasının ardından şirketin üçüncü taraf CRM sistemine başarılı bir şekilde sızdı.
Saldırganlar, insan kaynaklarını taklit ederek ve BT personelini personelin hesap kimlik bilgilerini ve kişisel bilgilerini teslim ettirmeleri için çalışanlarla iletişime geçti.
Meydan okulu veriler öncelikle çalışan adları, e -posta adresleri ve telefon numaraları dahil olmak üzere standart iş iletişim bilgilerinden oluşmaktadır.
Workday, müşteri kiracı verilerinin güvenli kaldığını, müşteri bilgilerine veya temel iş günü platformu altyapısına yetkisiz erişim olduğunu gösteren hiçbir kanıt olmadan vurguladı.
Şirket, güvenlik olayının sınırlı kapsamını vurgulayarak, “Müşteri kiracılarına veya içlerindeki verilere erişimin bir göstergesi yok” dedi.
Bu ayrım, kritik İK ve finansal operasyonlar için platforma güvenen çok sayıda Fortune 500 şirketini içeren Workday’ın kapsamlı müşteri tabanı için çok önemlidir.
Workday, keşif üzerine ihlali içerecek şekilde hızla hareket ederek saldırganların tehlikeye atılan CRM sistemine erişimini derhal sonlandırdı.
Şirket, gelecekte benzer olayları önlemek için tasarlanmış ek güvenlik önlemleri uyguladı, ancak bu gelişmiş önlemlerle ilgili belirli ayrıntılar açıklanmadı.
Olay, kurumsal ortamları hedeflemede giderek daha karmaşık hale gelen sosyal mühendislik saldırılarının sürekli tehdidinin altını çiziyor.
Siber güvenlik uzmanları, saldırganların sonraki kimlik avı kampanyalarının ve sosyal mühendislik girişimlerinin güvenilirliğini artırmak için genellikle çalıntı iletişim bilgilerini kullandıklarını belirtiyor.
Bu ihlal, kurumsal ortamlardaki üçüncü taraf entegrasyonlarla ilişkili doğal riskleri vurgulamaktadır.
Kuruluşlar giderek daha fazla birbirine bağlı yazılım ekosistemlerine dayandıkça, yardımcı platformların güvenliği genel veri koruma stratejileri için kritik hale gelir.
Workday, paydaşlara meşru şirket iletişiminin, istenmeyen telefon görüşmeleri aracılığıyla asla şifre veya hassas güvenlik detayları talepleri içermediğini hatırlattı.
Tüm resmi destek etkileşimleri yerleşik, doğrulanmış kanallar aracılığıyla gerçekleşir.
Olay, kuruluşların üçüncü taraf erişim izinlerini düzenli olarak denetlemeleri ve kapsamlı güvenlik farkındalık eğitim programları uygulamaları için bir hatırlatma görevi görür.
Sosyal mühendislik taktikleri gelişmeye devam ettikçe, çalışan eğitimi, aksi takdirde güvenli teknik ortamlarda insan güvenlik açıklarından yararlanmak isteyen sofistike tehdit aktörlerine karşı önemli bir savunma mekanizması olmaya devam etmektedir.
AWS Security Services: 10-Point Executive Checklist - Download for Free