ABD Ulusal Sigorta Komiserleri Birliği (NAIC), ABD vatandaşlarının kredi notu verilerini açığa çıkaran bir güvenlik ihlaline maruz kaldı.
İhlal 11 Haziran'da tespit edildi ve ABD federal sigorta sisteminin kar amacı gütmeyen kuruluşu bunu 17 Haziran'da kamuoyuna açıkladı.
26 Haziran'da yayınlanan son güncellemesinde NAIC, yetkisiz bir aktörün, NAIC'in dahili finansal raporlama amacıyla kullandığı Oracle PeopleSoft'taki sıfır gün güvenlik açığından yararlanarak ortamının "bir kısmına" erişim sağladığını doğruladı.
NAIC, olayın "PeopleSoft'ta o sırada geliştirici veya yazılım kullanıcıları tarafından bilinmeyen ve birden fazla kuruluşu etkileyen bir güvenlik açığından yararlanmaya yönelik geniş bir kampanyanın" sonucu olduğunu ekledi.
Gelecekte Ne Bekleniyor?
NAIC Verilerin İhlalden Etkilendiğini ve Etkilenmediğini Doğruladı
Saldırgan, NAIC'in PeopleSoft ortamına girdikten sonra belirli veri depolama alanlarına geçici erişim sağlamak için gereken bilgileri elde etti.
Daha sonra erişilen verilerin bir kısmını yayınladılar.
Uzmanların Görüşleri
NAIC'in ön bulgularına göre bunlar şunları içeriyor:
InsData gibi devlet web siteleri veya satıcılar aracılığıyla halihazırda kamuya açık olan yasal mali raporlama bilgileri
Detaylar ve Etkileri
Sigortacı yatırımlarının derecelendirme tespitleri de dahil olmak üzere kredi derecelendirme kuruluşu verileri
Sistem Güvenliği
"Potansiyel olarak" ek depolama verileri (örneğin güncel olmayan günlükler veya yapılandırma bilgileri gibi rutin teknik bilgiler)
NAIC, bazı kredi derecelendirme kuruluşlarının olayın ardından veri akışlarını duraklattığını ve bu durumun, derneğin sigorta şirketlerinin yatırımlarına atama yapmayı geçici olarak askıya almasına yol açtığını söyledi.
NAIC, "Sigortacılar herhangi bir güncelleme için [Otomatik Değerleme Hizmeti Plus] AVS+'ı izlemelidir" dedi.
Önemli Gelişmeler
Kullanıcılar, saldırganın ele geçirmediği kritik veriler konusunda bilgilendirildi:
ABD sigorta sistemi kullanıcılarının ve çalışanlarının kişisel bilgileri
Kredi kartı veya banka bilgileri de dahil olmak üzere ödeme ve finansal hesap bilgileri
Nasıl Önlem Alınmalı?
Derecelendirme kuruluşu yatırım mantığı raporları
Teknik Analiz
ABD eyaleti sigorta departmanlarının sistemlerine ilişkin bilgiler
Ulusal Sigorta Üretici Siciline (NIPR) veya Teammate yazılım sağlayıcısına bağlı bilgiler
Sonuç ve Değerlendirme
Bazı sigortalar, elektronik fon transferi, riske dayalı sermaye verileri, poliçe sahibi bilgileri, üretici verileri ve etkinlik kaydı ödeme bilgileri gibi verileri işler.
Ayrıca NAIC, saldırganın, Elektronik Fiyat ve Form Dosyalama Sistemi (SERFF), Sigorta için Çevrimiçi Prim Vergisi (OPTins), Tekdüzen Sertifika Yetkilisi Uygulaması (UCAA), Kurumsal Veri Platformu (EDP) ve Düzenleyici Veri Toplama (RDC) dahil olmak üzere NAIC tarafından sağlanan teknolojiyle bağlantılı bilgilere erişim elde ettiği yönündeki iddiaları da reddetti.
NAIC, "Dışarıdan siber güvenlik uzmanları, yetkisiz tarafın bu bilgileri almadığını veya bu düzenleyici raporlama sistemlerinden ödün vermediğini doğruladı" dedi.
NAIC Operasyonları Neredeyse Tamamen Normale Döndü
NAIC, güncellemesinde tespitin ardından ihlali "hemen" kontrol altına aldığını ve saldırganın sistemlerine erişimini engellediğini söyledi.
Ayrıca savunmasını güçlendirmek için ek adımlar atılmasına yardımcı olan dışarıdan danışmanlar ve siber güvenlik uzmanlarıyla da temasa geçti.
NAIC ayrıca "FBI koordinasyonu sürüyor" dedi.
Son olarak dernek, PeopleSoft üzerinden çevrimiçi fatura ödemesi haricindeki faaliyetlerinin normale döndüğünü doğruladı; bu ödeme hâlâ kullanılamıyor.
NAIC, "Kredi derecelendirme sağlayıcılarıyla görüşüyoruz ve sistemlerimizin güvenli olduğuna ve NAIC belirleme sürecinin devam edebileceğine dair üçüncü taraflara güvence verdik" dedi.