ABD Ulusal Sigorta Komisyoncuları Birliği (NAIC), kredi notu verilerini ifşa eden bir güvenlik ihlali yaşadı. 11 Haziran'da tespit edilen ihlal, 17 Haziran'da kamuoyuna duyuruldu. NAIC, 26 Haziran'daki güncellemesinde, yetkisiz bir aktörün Oracle PeopleSoft'taki sıfır gün açığını kullanarak sistemlerine sızdığını doğruladı. PeopleSoft, NAIC tarafından iç finansal raporlama için kullanılıyordu. NAIC, bu olayın geliştirici ve kullanıcılar tarafından bilinmeyen bir açığı hedef alan geniş çaplı bir kampanyanın parçası olduğunu ve birden fazla kuruluşu etkilediğini belirtti.
Saldırgan, NAIC'in PeopleSoft ortamına girdikten sonra belirli veri depolama alanlarına geçici erişim sağladı ve bazı verileri yayınladı. NAIC'in ön bulgularına göre sızdırılan veriler arasında, InsData gibi devlet sitelerinde zaten kamuya açık olan yasal finansal raporlama bilgileri, sigortacı yatırımlarının kredi notu belirlemelerini içeren kredi derecelendirme kuruluşu verileri ve potansiyel olarak güncel olmayan günlükler veya yapılandırma bilgileri gibi rutin teknik veriler yer alıyor. NAIC, bazı kredi derecelendirme kuruluşlarının veri akışını durdurduğunu ve bu nedenle sigortacı yatırımlarına geçici olarak not atamasının askıya alındığını duyurdu.
NAIC, kullanıcıları kritik verilerin tehlikeye girmediği konusunda bilgilendirdi. Kişisel bilgiler, ödeme ve finansal hesap bilgileri, kredi derecelendirme kuruluşlarının yatırım gerekçe raporları, eyalet sigorta departmanlarına ait sistem bilgileri, Ulusal Sigorta Üretici Kaydı (NIPR) ve Teammate yazılım sağlayıcısına ait bilgiler ile bazı sigorta süreç verileri (elektronik fon transferi, risk bazlı sermaye verileri, poliçe sahibi bilgileri, üretici verileri ve etkinlik kayıt ödeme bilgileri) etkilenmedi. Ayrıca NAIC, saldırganın SERFF, OPTins, UCAA, EDP ve RDC gibi NAIC teknolojilerine ait bilgilere eriştiği iddialarını yalanladı.
NAIC, ihlali tespit ettikten sonra hızla kontrol altına aldığını ve saldırganın sistemlere erişimini engellediğini belirtti. Dış danışmanlar ve siber güvenlik uzmanlarıyla çalışarak savunmasını güçlendirdi. FBI ile koordinasyonun sürdüğü bildirildi. NAIC, PeopleSoft üzerinden çevrimiçi fatura ödemesi dışında operasyonlarının normale döndüğünü ve kredi notu sağlayıcılarıyla toplantılar yaparak sistemlerin güvenli olduğuna dair üçüncü taraf güvenceleri verdiğini açıkladı.