Oracle PeopleSoft Sıfırıncı Gün Açığı ABD Sigorta Düzenleyicisini Vurdu: Kredi Notu Verileri Sızdırıldı Siber Güvenlik

Oracle PeopleSoft Sıfırıncı Gün Açığı ABD Sigorta Düzenleyicisini Vurdu: Kredi Notu Verileri Sızdırıldı

ABD Ulusal Sigorta Komisyoncuları Birliği (NAIC), Oracle PeopleSoft'taki sıfırıncı gün açığı nedeniyle veri ihlali yaşadı. Kredi notu verileri çalındı

ABD federal sigorta sisteminin kâr amacı gütmeyen düzenleyici kurumu Ulusal Sigorta Komisyoncuları Birliği (NAIC), Oracle PeopleSoft yazılımındaki bir sıfırıncı gün açığından yararlanılarak gerçekleştirilen siber saldırı sonucu veri ihlali yaşadı. Saldırganlar, kredi derecelendirme kuruluşlarına ait hassas verilere erişti. NAIC, ihlali 11 Haziran'da tespit ettiğini ve 17 Haziran'da kamuoyuna duyurduğunu açıkladı. 26 Haziran'da yapılan güncellemede ise olayın, Oracle PeopleSoft'un bilinmeyen bir güvenlik açığından yararlanan geniş çaplı bir kampanyanın parçası olduğu belirtildi.

NAIC, PeopleSoft'u dahili finansal raporlama amacıyla kullanıyor. Saldırgan, bu açık sayesinde sisteme sızdıktan sonra belirli veri depolama alanlarına geçici erişim sağladı ve elde ettiği bazı verileri yayınladı. İhlal sonucu etkilenen veriler arasında, eyalet web siteleri veya yeniden satıcılar aracılığıyla zaten kamuya açık olan yasal mali raporlama bilgileri, sigortacı yatırımlarının kredi notu belirlemelerini içeren kredi derecelendirme kuruluşu verileri ve potansiyel olarak güncel olmayan günlükler veya yapılandırma bilgileri gibi rutin teknik veriler yer alıyor.

NAIC, kredi derecelendirme kuruluşlarının olayın ardından veri akışını durdurduğunu ve bu nedenle sigortacı yatırımlarına geçici olarak not ataması yapamadıklarını belirtti. Ancak kurum, sigortacıları Otomatik Değerleme Hizmeti Plus (AVS+) sistemini güncellemeler konusunda uyardı. Öte yandan, kullanıcıların kişisel bilgileri, ödeme ve finansal hesap bilgileri (kredi kartı ve banka bilgileri dahil), derecelendirme kuruluşlarının yatırım gerekçe raporları, eyalet sigorta departmanları sistemleri, Ulusal Sigorta Üretici Kaydı (NIPR) ve Teammate yazılım sağlayıcısına ait bilgiler ile elektronik fon transferi, risk bazlı sermaye verileri, poliçe sahibi bilgileri ve etkinlik kayıt ödeme bilgileri gibi bazı sigorta süreç verilerinin ihlalden etkilenmediği vurgulandı.

Nasıl Önlem Alınmalı?

NAIC, saldırganın ayrıca Elektronik Oran ve Form Dosyalama Sistemi (SERFF), Çevrimiçi Sigorta Prim Vergisi (OPTins), Tek Tip Sertifika Yetki Başvurusu (UCAA), Kurumsal Veri Platformu (EDP) ve Düzenleyici Veri Toplama (RDC) gibi NAIC tarafından sağlanan teknolojilere ait bilgilere eriştiği iddialarını da yalanladı. Dış siber güvenlik uzmanları, yetkisiz kişinin bu bilgileri almadığını ve bu düzenleyici raporlama sistemlerini tehlikeye atmadığını doğruladı.

Gelecekte Ne Bekleniyor?

NAIC, ihlali tespit ettikten sonra hızla müdahale ettiğini, saldırganın sistemlere erişimini engellediğini ve dış hukuk danışmanları ile siber güvenlik uzmanlarından destek aldığını açıkladı. Savunmayı güçlendirmek için ek adımlar atıldığı ve FBI ile koordinasyonun sürdüğü belirtildi. NAIC, operasyonlarının büyük ölçüde normale döndüğünü, ancak PeopleSoft üzerinden çevrimiçi fatura ödeme hizmetinin hâlâ kullanılamadığını duyurdu.

Sonuç ve Değerlendirme

Bu olay, Oracle PeopleSoft gibi yaygın kullanılan kurumsal yazılımlardaki sıfırıncı gün açıklarının ne kadar büyük bir tehdit oluşturduğunu bir kez daha gözler önüne serdi. NAIC gibi kritik düzenleyici kurumların dahi bu tür saldırılara karşı savunmasız kalabildiği görülüyor. Kurumların, düzenli güvenlik güncellemeleri yapmanın yanı sıra, bilinmeyen açıklara karşı proaktif tehdit avcılığı ve davranış analizi gibi ileri düzey savunma mekanizmalarına yatırım yapması gerekiyor.

Kullanıcılar ve sigorta şirketleri için en kritik çıkarım, NAIC'in sistemlerinin güvenliğini yeniden sağlamak için adımlar attığı ancak kredi notu verilerinin sızdırılmış olabileceği gerçeği. Bu tür veriler, kimlik avı ve dolandırıcılık amaçlı kullanılabilir. Bu nedenle, sigorta sektörü çalışanları ve ilgili tarafların, şüpheli e-postalara ve iletişimlere karşı dikkatli olması, hesaplarını izlemesi ve iki faktörlü kimlik doğrulama gibi ek güvenlik önlemleri alması önerilir.

Kaynak: infosecurity-magazine.com

Paylaş: