ABD merkezli bir finansal hizmetler ve fintech şirketi olan 700Credit, bir veri ihlali olayında 5,8 milyondan fazla kişiye kişisel bilgilerinin açığa çıktığını bildirmeye başlayacak.
Siber saldırı, bir tehdit aktörünün Temmuz ayında 700Credit'in entegrasyon ortaklarından birine sızması ve müşteri bilgilerini elde etmek için bir API keşfetmesi sonrasında gerçekleşti. Ancak ortak, 700Credit'e bu uzlaşmayı bildirmedi.
700Credit, 25 Ekim'de sistemlerinde şüpheli etkinlik fark etti ve üçüncü taraf bilgisayar adli tıp uzmanlarının yardımıyla bir soruşturma başlattı.
700Credit, etkilenen kişilere yaptığı bildirimde, "Soruşturma, bayilik müşterilerinin müşterileriyle ilgili web uygulamasındaki belirli kayıtların izinsiz olarak kopyalandığını belirledi." diyor.
700Credit Genel Müdürü Ken Hill'e göre saldırgan, şirketin açığa çıkan API'yi sonlandırmasından önce Mayıs'tan Ekim'e kadar tüketici verilerinin yaklaşık %20'sini çalmayı başardı.
Tehdit aktörü, API'deki bir güvenlik açığı nedeniyle (tüketici referans kimliklerinin asıl istekte bulunan kişiye göre doğrulanamaması) veri sızdırmayı başardı.
Açığa çıkan veri türleri arasında şunlar yer alıyor:
700Credit, Amerika Birleşik Devletleri'ndeki otomotiv bayilerine yönelik en büyük kredi raporlama, kimlik doğrulama ve dolandırıcılık ve uyumluluk hizmetleri sağlayıcılarından biridir. Şirkete göre, 23.000'den fazla otomotiv, karavan, Powersports ve Denizcilik bayisi müşterisine kredi raporları ve yumuşak çekme çözümleri sağlıyor.
Şirketin Federal Ticaret Komisyonu'na (FTC) kendi adına bir ihlal bildirimi ve etkilenen tüm bayi müşterileri adına da birleştirilmiş bir bildirimde bulunduğunu belirtmekte fayda var.
İhlalden etkilenen 700Credit müşterilerinin artık FTC'ye veya eyalet başsavcılığına bildirimde bulunmasına gerek kalmayacak, çünkü şirket bunu onlar adına da yapacak.
700Credit ayrıca farkındalığı artırmak amacıyla Ulusal Otomobil Satıcıları Birliği'ni (NADA) olayla ilgili bilgilendirdi.
Şirketin web sitesindeki özel bir sayfa, veri ihlali ve etkilenen bilgi türü hakkında genel ayrıntılar sağlar.
Etkilenen bireylerin riski azaltmasına yardımcı olmak için 700Credit, TransUnion aracılığıyla kayıt süresine kadar 90 günlük 12 aylık ücretsiz bir kimlik koruma ve kredi izleme hizmeti sunuyor.
Veri ihlali bildiriminin alıcılarına, hesaplarını yakından izlemeleri ve güvenliklerini dondurmayı düşünmeleri tavsiye edilir.
Bu yazının yazıldığı sırada saldırıyı hiçbir fidye yazılımı grubu üstlenmedi. BleepingComputer, olayla ilgili daha fazla bilgi edinmek için 700Credit ile iletişime geçti ancak henüz bir yorum yapılmadı.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Cox Enterprises, Oracle E-Business Suite veri ihlalini açıkladı
Askul, fidye yazılımı saldırısında 740 bin müşteri kaydının çalındığını doğruladı
Coupang veri ihlalinin izi, sistem erişimini koruyan eski çalışana kadar uzanıyor
Marquis veri ihlali 74 ABD bankasını ve kredi birliğini etkiliyor
Freedom Mobile, müşteri verilerini açığa çıkaran veri ihlalini açıkladı
Kaynak: Bleeping Computer