EY Veri İhlali: Büyük Dörtlü'den Denetim Devi, Müşteri Vergi Belgelerini Sızdırdı Yazılım

EY Veri İhlali: Büyük Dörtlü'den Denetim Devi, Müşteri Vergi Belgelerini Sızdırdı

Ernst & Young (EY), üçüncü taraf bir BT destek sistemine yapılan siber saldırı sonucu müşteri vergi belgelerinin sızdırıldığını açıkladı.

Dünyanın önde gelen denetim ve danışmanlık firmalarından Ernst & Young (EY), müşteri verilerinin sızdırılmasına neden olan bir veri ihlali yaşadığını duyurdu. Şirket, saldırganların üçüncü taraf bir BT destek sistemine erişerek müşteri vergi belgelerini çaldığını açıkladı. Olay, EY’nin küresel çapta 406.000 çalışanı ve 53,2 milyar dolarlık geliriyle ne kadar büyük bir hedef olduğunu bir kez daha gözler önüne serdi.

EY tarafından yapılan resmi açıklamaya göre, ihlal 28 Mart 2026 ile 12 Nisan 2026 tarihleri arasında gerçekleşti. Şirket, 23 Nisan 2026’da üçüncü taraf platformda anormal aktivite tespit etti ve hemen siber güvenlik ekibini harekete geçirdi. Bağımsız bir siber güvenlik firmasıyla yürütülen soruşturma sonucunda, yetkisiz erişimin durdurulduğu ve sistemlerin güvence altına alındığı belirtildi.

Saldırganların hedef aldığı sistem, EY’nin BT ekiplerinin müşteri vergi işlemleri için kullandığı bir destek bileti platformuydu. Bu platform üzerinden gönderilen destek talepleri, müşterilere ait vergi belgelerini içeriyordu. EY, sızdırılan bilgilerin kişisel ve finansal veriler ile vergi beyannamelerinde kullanılan belgeleri kapsadığını ancak şu ana kadar bu verilerin kötüye kullanıldığına dair bir kanıt bulunmadığını vurguladı.

EY, etkilenen müşteri sayısını henüz açıklamadı. Şirket, federal yetkililere durumu bildirdiğini ve etkilenen müşterilere 24 ay boyunca Experian üzerinden kimlik izleme ve restorasyon hizmeti sunacağını duyurdu. Ayrıca, saldırının arkasında herhangi bir fidye yazılımı grubunun olduğuna dair bir iddia bulunmuyor.

Teknik Analiz

Bu olay, büyük danışmanlık firmalarının üçüncü taraf tedarikçilere olan bağımlılığının getirdiği riskleri bir kez daha gündeme taşıdı. EY gibi hassas müşteri verilerine erişimi olan firmaların, tedarik zinciri güvenliğine daha fazla önem vermesi gerekiyor. Uzmanlar, şirketlerin üçüncü taraf sistemlerini düzenli olarak denetlemesi ve erişim kontrollerini sıkılaştırması gerektiğini belirtiyor.

EY müşterileri için en önemli adım, şirketin sunduğu kimlik koruma hizmetine kaydolmak ve kişisel bilgilerini düzenli olarak izlemek. Ayrıca, vergi beyannamelerinde kullanılan bilgilerin kötüye kullanılması durumunda IRS (ABD Gelir İdaresi) gibi kurumlarla iletişime geçmek de önem taşıyor. EY’nin bu olaydan ders çıkararak güvenlik önlemlerini artırması bekleniyor.

Kaynak: securityaffairs.com

Paylaş: