Üçüncü taraf veri ihlalleri giderek daha yaygın hale gelmiş, tüccarlar, satıcılar ve yan kuruluşlar gibi üçüncü taraf siber risk yönetimini kapsayan siber güvenlik programlarının hayati rolünü vurgulamıştır. Bu ihlallerin kökenleri, artan çevrimiçi işlemlerin şirketleri isimler, adresler ve ödeme bilgileri dahil olmak üzere kapsamlı müşteri verileri biriktirmeye yönlendirdiği internetin ilk günlerine dayanmaktadır.
Bugünün ortamında işletmeler, ödeme işleme, bulut altyapısı, API entegrasyonları, müşteri desteği ve pazarlama gibi çeşitli hizmetler için üçüncü taraf satıcılara büyük ölçüde bağımlıdır. Bu satıcılar hassas müşteri verilerine daha fazla erişime sahiptir, bu da onları siber suçlular için birincil hedefler haline getirir, kötü vurulan birincil hedefler.
Ponemon Enstitüsü, şirketlerin %54'ünün üçüncü taraflarından kaynaklanan veri ihlalleri yaşadığını, şirketlerin ise %61'inin üçüncü taraflarının kapsamlı bir envanterine sahip olmadığını belirtmektedir.
Son yıllarda SolarWinds ve Marriott gibi kuruluşları kapsayan dikkat çekici veri ihlalleri yaşanmıştır. Bu ihlaller, kredi kartı bilgileri, Sosyal Güvenlik numaraları ve kişisel kimlik bilgileri gibi kritik verileri ortaya çıkararak kimlik hırsızlığı, finansal manipülasyon ve siber suçları körüklemiştir.
2022 sonundan 2023 ortasına kadar, sayısız ek üçüncü taraf veri ihlali ortaya çıkmış, sayısız bireyin kişisel verilerini tehlikeye atmış ve ölçülemez maliyet ve itibar hasarına yol açmıştır.
Aşağıda, en son öne çıkan üçüncü taraf veri ihlallerinden bazılarının öne çıkanları yer almaktadır.
Ağustos
Anlık mesajlaşma ve VoIP sosyal platformu olan Discord, sunucu sahiplerinin kanallarına özel davetiyeler oluşturmasına olanak tanıyan bir hizmet olan Discord.io'dan bir üçüncü taraf veri ihlali yaşadı.
Sızıntı, 760.000 üyenin bilgilerini ortaya çıkardı. Sızan bilgiler arasında üyenin kullanıcı adı, e-posta adresi, fatura adresi (az sayıda kişi), tuzlanmış ve hash'lenmiş şifre (az sayıda kişi) ve Discord kimliği bulunmaktadır.
Discord.io veri ihlalini doğruladı ve buna yanıt olarak hizmetlerini kapattı.
Haziran
-Dünyanın en büyük sözleşmeli çip üreticisi ve Apple'ın en büyük tedarikçilerinden biri olan Taiwan Semiconductor Manufacturing Company (TSMC), tedarikçisi Kinmax ile bağlantılı bir ihlali kabul etti. LockBit fidye yazılım grubu, çalınan verileri açıklamamaları için 70 milyon dolarlık fidye talep ediyor. Bu, tarihteki en büyük fidye taleplerinden biri olarak bilinmektedir.
-Progress Software'in MOVEit Transfer aracındaki bir güvenlik açığından yararlanan çeşitli kuruluşları, ABD hükümet kurumları dahil olmak üzere etkileyen saldırılar doğrulandı. CLP Ransomware grubu bunu kar için kullanıyor, saldırının ölçeğinin devam eden değerlendirmesi sırasında üçüncü tarafları etkiliyor.
-İsviçre hükümeti, bir yazılım satıcısı olan Xplain'in kötü amaçlı yazılımlarla enfekte olduğunu doğruladı. Siber suçlular verilerin bir kısmını karanlık ağda yayınladı. Veri seti 425.000'den fazla adresi içermektedir.
Mayıs-Nisan
– Dünyanın en büyük gözlük şirketi Luxottica, 2021'de meydana gelen bir veri ihlalinin ardından 70 milyon müşterinin kişisel bilgilerinin sızdırıldığını doğruladı. Şirket, Ray-Ban, Chanel, Prada, Versace, Dolce and Gabbana, Burberry, Giorgio Armani, Michael Kors ve Oakley gibi markalara sahiptir.
Şirket, sızan verilerin müşteri verilerini tutan üçüncü taraf bir yükleniciyi etkileyen bir güvenlik olayından kaynaklandığını doğruladı.
Mart
-AT&T, yaklaşık 9 milyon kablosuz hesabı etkileyen bir ihlali açıkladı. Yetkisiz bir kişi, pazarlama hizmetleri sağlayan üçüncü taraf bir satıcının sistemine girdi. İsimler, e-posta adresleri, telefon numaraları, hesap hatları ve kablosuz planlar gibi verilere erişilmiş olsa da, SSN'ler, şifreler veya finansal veriler alınmamıştır.
LinkedIn, 700 milyon kullanıcıyı etkileyen bir ihlali ortaya çıkardı. Üçüncü taraf bir yazılım kütüphanesi güvenlik açığından yararlanan bilgisayar korsanları isim ve e-posta gibi verilere erişti. LinkedIn şifre güncellemelerini önerdi ve ek güvenlik önlemleri aldı.
Ocak (23)-Aralık (22)
T-Mobile, 40 milyon müşteriyi etkileyen bir ihlal yaşadı. Bilgisayar korsanları, isimler, telefon numaraları, adresler, SSN'ler ve lisanslar dahil olmak üzere verileri çalan bir üçüncü taraf satıcı aracılığıyla girdi. T-Mobile ücretsiz kredi izleme hizmeti sundu ve güvenliği artırdı.
Uber, Aralık 2022'deki bir ihlali doğruladı. Teqtivity adlı satıcı aracılığıyla kimlik avı saldırıları gerçekleştiren tehdit aktörleri, çalışan e-postalarına, BT varlıklarına ve kurumsal verilere erişti. Sızan bilgiler hedefli kampanyaları besleyebilir.
Bu ihlaller, üçüncü taraf satıcılarla bağlantılı tehlikeleri vurgulamakta ve sağlam siber güvenlik önlemlerinin zorunluluğunu ortaya koymaktadır.
Sonuç
Üçüncü taraf veri ihlali risklerini azaltmak için şirketler, SOC2'leri incelemek ve anketler dağıtmanın ötesine geçmelidir. Güçlü satıcı inceleme süreçlerine rağmen bazı firmalar hala mağdur olmuştur. Bu, güvenlik politikalarını, anlaşmaları ve erişim limitlerini incelemeyi de kapsar. Bir eğilim ortaya çıkıyor: harici güvenlik açığı risk değerlendirmeleri periyodik olarak yapılmalıdır. Bu, saldırganlarla aynı siber risk görünümünü sağlar ve proaktif risk tartışmalarını teşvik eder.
Onlayer, finansal kuruluşlardan enerji ve sigortaya kadar çeşitli sektörlerdeki işletmeler için tedarik zinciri güvenliğine odaklanmakta, birincil kuruluşların satıcılarının, tüccarlarının, yan kuruluşlarının ve diğer üçüncü taraflarının risklerini periyodik olarak değerlendirmekte ve yönetmektedir. Bu riskleri tespit ederek, önceliklendirerek ve gidererek Onlayer, veri ihlali risklerini en aza indirir ve finansal ve itibar hasarını önler.
Bizimle iletişime geçin ve üçüncü taraf risklerinizi nasıl azaltıp giderebileceğimizi keşfetmek için demo talep edin.
