Η 700Credit, μια εταιρεία χρηματοοικονομικών υπηρεσιών και fintech με έδρα τις ΗΠΑ, θα αρχίσει να ειδοποιεί περισσότερους από 5,8 εκατομμύρια ανθρώπους ότι τα προσωπικά τους στοιχεία έχουν εκτεθεί σε περιστατικό παραβίασης δεδομένων.
Η κυβερνοεπίθεση σημειώθηκε όταν ένας παράγοντας απειλής είχε παραβιάσει έναν από τους συνεργάτες ενσωμάτωσης της 700Credit τον Ιούλιο και ανακάλυψε ένα API για τη λήψη πληροφοριών πελατών. Ωστόσο, ο συνεργάτης δεν ενημέρωσε την 700Credit για τον συμβιβασμό.
Η 700Credit παρατήρησε ύποπτη δραστηριότητα στα συστήματά της στις 25 Οκτωβρίου και ξεκίνησε έρευνα, με τη βοήθεια τρίτων ιατροδικαστών ηλεκτρονικών υπολογιστών.
“Η έρευνα διαπίστωσε ότι ορισμένες εγγραφές στην εφαρμογή Ιστού που αφορούσαν πελάτες των πελατών της αντιπροσωπείας της αντιγράφηκαν χωρίς εξουσιοδότηση”, αναφέρει η 700Credit στο κοινοποίηση σε επηρεαζόμενα άτομα.
Σύμφωνα με τον Διευθύνοντα Σύμβουλο της 700Credit Κεν Χιλο εισβολέας κατάφερε να κλέψει περίπου το 20% των δεδομένων των καταναλωτών από τον Μάιο έως τον Οκτώβριο προτού η εταιρεία τερματίσει το εκτεθειμένο API.
Ο παράγοντας απειλής μπόρεσε να διεισδύσει δεδομένα λόγω ευπάθειας ασφαλείας στο API, αδυναμίας επικύρωσης αναγνωριστικών αναφοράς καταναλωτή έναντι του αρχικού αιτούντος.
Οι τύποι δεδομένων που έχουν εκτεθεί περιλαμβάνουν:
- Ονοματεπώνυμο
- Φυσική διεύθυνση
- Ημερομηνία γεννήσεως
- Αριθμός Κοινωνικής Ασφάλισης (SSN)
Η 700Credit είναι ένας από τους μεγαλύτερους παρόχους υπηρεσιών αναφοράς πιστώσεων, επαλήθευσης ταυτότητας και απάτης και συμμόρφωσης για αντιπροσώπους αυτοκινήτων σε όλες τις Ηνωμένες Πολιτείες. Σύμφωνα με την εταιρεία, παρέχει αναφορές πιστώσεων και λύσεις soft pull σε περισσότερους από 23.000 πελάτες αντιπροσώπων αυτοκινήτων, RV, Powersports και Marine.
Αξίζει να σημειωθεί ότι η εταιρεία υπέβαλε στην Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) μια ειδοποίηση παραβίασης εκ μέρους της και μια ενοποιημένη για λογαριασμό όλων των επηρεαζόμενων πελατών αντιπροσώπων της.
Οι πελάτες της 700Credit που επηρεάζονται από την παραβίαση δεν χρειάζεται πλέον να υποβάλλουν ειδοποίηση στην FTC ή στα γραφεία του γενικού εισαγγελέα, καθώς η εταιρεία θα το κάνει και για λογαριασμό τους.
Η 700Credit ενημέρωσε επίσης την Εθνική Ένωση Αντιπροσώπων Αυτοκινήτων (NADA) σχετικά με το περιστατικό για την ευαισθητοποίηση.
ΕΝΑ ειδική σελίδα στον ιστότοπο της εταιρείας παρέχονται γενικές λεπτομέρειες σχετικά με την παραβίαση δεδομένων και τον τύπο των πληροφοριών που επηρεάζονται.
Για να βοηθήσει τα επηρεαζόμενα άτομα να μετριάσουν τον κίνδυνο, η 700Credit προσφέρει 12μηνη δωρεάν υπηρεσία προστασίας ταυτότητας και παρακολούθησης πιστώσεων μέσω της TransUnion, με περίοδο εγγραφής 90 ημερών.
Συνιστάται στους αποδέκτες της ειδοποίησης παραβίασης δεδομένων να παρακολουθούν στενά τους λογαριασμούς τους και να εξετάσουν το ενδεχόμενο δέσμευσης ασφαλείας.
Μέχρι τη στιγμή που γραφόταν αυτό το κείμενο, καμία ομάδα ransomware δεν ανέλαβε την ευθύνη για την επίθεση. Η BleepingComputer επικοινώνησε με την 700Credit για να μάθει περισσότερα για το περιστατικό, αλλά ένα σχόλιο δεν ήταν άμεσα διαθέσιμο.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
