3. Taraf Risk Yönetimi, İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suçlar
InfoSys McCamish, Olayın BoA’nın Ertelenmiş Tazminat Planı Müşterileriyle İlgili Olduğunu Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
13 Şubat 2024
Bank of America, 57.000’den fazla müşterisine, sosyal güvenlik numaralarının ve diğer kişisel bilgilerinin geçen Kasım ayında sigorta yazılım şirketi InfoSys McCamish Systems’de meydana gelen bir bilgisayar korsanlığı olayında ele geçirilme potansiyeline sahip olduğunu bildiriyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
IMS, Charlotte, North Carolina merkezli Bank of America tarafından sunulanlar da dahil olmak üzere, ertelenmiş ücret planları için hizmetler sağlamaktadır.
Dışarıdan bir avukat tarafından 2 Şubat’ta sunulan bir ihlal raporunda Bank of America, Maine başsavcısına 3 Kasım 2023 veya civarında IMS’nin “belirli IMS uygulamalarının kullanılamamasıyla sonuçlanan bir siber güvenlik olayı” yaşadığını söyledi. “
Raporda, Bank of America’nın durumdan 24 Kasım’da haberdar edildiği ve olayda hiçbir banka sisteminin tehlikeye atılmadığı belirtildi.
“Güvenlik olayına yanıt olarak IMS, IMS’in kurtarma planını araştırmak ve ona yardımcı olmak için üçüncü taraf bir adli tıp firmasını görevlendirdi; bu plan, kötü amaçlı etkinliklerin kontrol altına alınması ve iyileştirilmesi, sistemlerin yeniden inşa edilmesi ve yanıt yeteneklerinin geliştirilmesini içeriyordu.” Maine düzenleyicileri.
“Bugüne kadar IMS, IMS ortamında tehdit aktörlerinin erişiminin, araçlarının veya kalıcılığının devam ettiğine dair hiçbir kanıt bulamadı.”
Bildirimde, IMS’in bu olay sonucunda hangi kişisel bilgilere erişildiğini kesin olarak belirlemesinin “olası olmadığı” belirtildi. Ancak IMS kayıtlarına göre, potansiyel olarak tehlikeye atılmış ertelenmiş tazminat planı bilgileri arasında Bank of America müşterilerinin ad ve soyadları, adresleri, iş e-posta adresleri, doğum tarihleri, Sosyal Güvenlik numaraları ve diğer hesap bilgileri yer alıyor.
Bank of America, etkilenen kişilere iki yıllık ücretsiz kimlik ve kredi izleme hizmetleri sunuyor.
Bir Bank of America sözcüsü, Bilgi Güvenliği Medya Grubu’nun yorum talebini reddetti ve ISMG’yi InfoSys McCamish’e yönlendirdi.
IMS, ISMG’nin, bilgisayar korsanlığı olayının türü, fidye yazılımı içerip içermediği ve BoA’nın yanı sıra başka IMS müşterilerinin etkilenip etkilenmediği de dahil olmak üzere ihlalle ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
InfoSys BPM Limited’in Atlanta merkezli bir yan kuruluşu olan IMS, belirli IMS sistemleri ve uygulamalarının “kullanılamamasını” içeren bir siber güvenlik olayını bildirmek için 3 Kasım’da ABD Menkul Kıymetler ve Borsa Komisyonu’na bir bildirimde bulundu.