Büyük veri ihlali ABD’deki en büyük kamu emeklilik fonlarını etkiliyor

Yaklaşık 769 bin emekli CalPERS üyesinin kişisel bilgileri ifşa oldu üçüncü taraf veri ihlali bu ayın başlarında bildirildi. CalSTRS, 415.000 üyesinin ve yararlanıcısının ihlalden etkilendiğini söyledi.

Kaliforniya Kamu Çalışanları Emeklilik Sistemi CalPERS, ülkedeki en büyük kamu emeklilik fonudur. Emeklilik programında 2 milyondan fazla ve sağlık programında 1,5 milyondan fazla üyeye hizmet vermektedir.

California Eyaleti Öğretmen Emeklilik Sistemi CalSTRS, Amerika Birleşik Devletleri’ndeki en büyük ikinci kamu emeklilik fonu ve en büyük öğretmen emeklilik sistemidir. 947.000’den fazla üyeye hizmet vermektedir.

CalPERS ilk olarak Çarşamba günü yaptığı açıklamada, üçüncü taraf satıcısı PBI Research Services’in 6 Haziran’da ajansa MOVEit Transfer uygulamasında o zamandan beri düzeltilen bir güvenlik açığı hakkında bilgi verdiğini söyledi.

PBI CalPERS, üye ölümlerinin belirlenmesine ve emeklilere ve hak sahiplerine doğru ödemelerin yapılmasını sağlamaya yardımcı olur.

CalPERS, uygulama güvenlik açığının ad ve soyad, doğum tarihi ve Sosyal Güvenlik numaraları gibi verilerin yetkisiz bir üçüncü tarafça indirilmesine izin verdiğini söyledi. Bireylerin aile üyelerinin isimlerine de erişmek mümkündü.

CalPERS, ihlalin bilgi sistemlerini, myCalPERS’i veya aktif üyeleri etkilemediğini söyledi. Ayrıca üyelerin aylık faiz ödemelerini de etkilemez.

Calpers, emekli üyeler ve ailelerinin yanı sıra, ihlalin aktif olmayan ve sosyal haklardan hızla yararlanmaya uygun hale gelen üyeleri de etkilemiş olabileceğini söyledi.

PBI yaptığı açıklamada, güvenlik açığını “Mayıs ayı sonunda” tespit ettiğini ve “siber suçlular tarafından aktif olarak kullanıldığını” söyledi.

PBI, “PBI, MOVEit örneğine derhal yama yaptı, siber güvenlik ve gizlilik uzmanlarından oluşan bir ekip kurdu, federal yasa uygulayıcılarına haber verdi ve potansiyel olarak etkilenen müşterilerle iletişime geçti” dedi. “Siber suçluların diğer PBI sistemlerine erişimi yoktu – yalnızca savunmasız MOVEit yönetim portalına erişildi. PBI, etkilenen tüketicileri belirlemek ve bildirim planları geliştirmek için doğrudan etkilenen müşterilerle birlikte çalışıyor.”

Calpers, ihlalden binlerce başka kuruluşun da etkilendiğini söyledi.

Associated Press’e göre ABD Enerji Bakanlığı ve diğer federal kurumların yanı sıra Oregon ve Louisiana’daki 9 milyondan fazla sürücü, Johns Hopkins Üniversitesi, muhasebe firması Ernst & Young, BBC ve British Airways risk altındaydı.

CalPERS Perşembe günü, etkilenen üyelere ihlal hakkında mektuplar göndermeye başlayacağını ve onlara iki yıl boyunca ücretsiz Experian kredi izleme sunacağını söyledi.

CalPERS’in ihlalle bağlantılı olarak dolandırıcılık raporları alıp almadığı hemen belli olmadı. KCRA3 ayrıca ajansın ihlali duyurmak için neden bu haftaya kadar beklediğini soruyor.

California Emekli Kamu Çalışanları Derneği’nin yasama direktörü Randy Chick, “Bilmeliydik. Hesaplarımızı kontrol edebilmeliydik” dedi. .

Associated Press, saldırıdan sorumlu olduğuna inanılan suç çetesi Cl0p’nin kurbanlardan şantaj yaptığını bildirdi.

CalPERS üyeleri, ihlalle ilgili sorularını [email protected] adresine e-posta gönderebilir veya Pazartesiden Cumaya 06:00 – 20:00 saatleri arasında veya Cumartesi ve Pazar günleri 08:00 – 17:00 saatleri arasında 833-919-4735 numaralı telefonu arayabilirler.

CalPERS, ihlale cevaben myCalPERS için yeni protokoller ve çağrı merkezini kullananlar veya bir bölge ofisini ziyaret edenler için güvenlik önlemleri oluşturduğunu söyledi.

CalPERS CEO’su Marcy Frost yaptığı açıklamada, “Bu harici bilgi ihlali affedilemez.” Dedi. “Üyelerimiz daha iyisini hak ediyor. Olanlardan haberdar olur olmaz, üyelerimizin mali çıkarlarını korumak ve uzun vadeli koruma sağlamak için hızlı adımlar attık.”

Perşembe günü CalSTRS, KCRA 3 tarafından sorulduğunda da etkilendiğini doğruladı. Sistem, 4 Haziran’da PBI sistemlerinin kötüye kullanıldığının kendisine bildirildiğini söyledi. 8 Haziran’da, ihlalin bazı üyelerinin kişisel bilgilerini içerdiği söylendi.

CalSTRS, “Bu olay, CalSTRS ağına yetkisiz erişimi içermiyordu” dedi. “CalSTRS, bilgileri bir PBI olayına karışan CalSTRS üyelerini belirlemek için PBI ile birlikte çalışıyor. CalSTRS, kişisel bilgileri ilgili yasaya uygun olarak dahil olan tüm üyelere ve hak sahiplerine bildirimde bulunacaktır.”

CalSTRS, Cuma günü gönderdiği bir e-postada, ihlal nedeniyle 415.000 üyenin ve hak sahiplerinin isimlerinin, Sosyal Güvenlik numaralarının, doğum tarihlerinin ve posta kodlarının serbest bırakıldığını söyledi. Etkilenenlere, özel bilgilerin korunmasına yardımcı olmak için mevcut kaynakları özetleyen bir mektup gönderildi.

Ajans, “CalSTRS, PBI Araştırma Hizmetleri ile olan ilişkiyi ve yürürlükteki güvenlik önlemlerini değerlendiriyor” dedi. “PBI, CalSTRS’ye önerilen yamaları dosya aktarım sistemine uyguladığını ve önerilen hafifletme adımlarını attığını bildirdi. CalSTRS, tüm hizmet sağlayıcılarımızın üyelerimizin bilgilerini koruyan güvenlik önlemleri uygulamasını sağlamak için çalışmaya devam ediyor.”