Çamaşırhane devi CSC ServiceWorks, yakın zamanda 2023’ten itibaren bir siber saldırının açıklanmasının ardından on binlerce kişinin kişisel bilgilerinin sistemlerinden çalındığını söyledi.
New York merkezli çamaşırhane devi, Kuzey Amerika ve Avrupa’daki konut binalarına, otellere ve üniversite kampüslerine bir milyondan fazla internet bağlantılı çamaşır makinesi sağlıyor. Web sitesine göre CSC ayrıca 3.200’den fazla ekip üyesini istihdam ediyor.
Cuma günü geç saatlerde sunulan bir veri ihlali bildiriminde CSC, veri ihlalinin Maine’de yüzden fazla kişi dahil olmak üzere en az 35.340 kişiyi etkilediğini doğruladı.
Veri ihlali haberi, çok sayıda güvenlik araştırmacısının çamaşırhane platformunda şirketin gelirini kaybetmesine neden olabilecek basit ama kritik güvenlik açıkları bulduğunu söylemesinin ardından, geçtiğimiz yıl CSC’yi rahatsız eden en son güvenlik sorunu oldu.
CSC, veri ihlali bildiriminde, bir davetsiz misafirin 23 Eylül 2023’te sistemlerine girdiğini ve şirketin davetsiz misafiri keşfettiği 4 Şubat 2024 tarihine kadar beş ay boyunca ağına erişim sağladığını söyledi. Şirketin ihlali tespit etmesinin neden birkaç ay sürdüğü bilinmiyor. CSC, hangi verilerin çalındığını belirlemenin Haziran ayına kadar süreceğini söyledi.
Çalınan veriler arasında isimler; doğum tarihleri; iletişim bilgileri; Sosyal Güvenlik ve ehliyet numaraları gibi resmi kimlik belgeleri; banka hesap numaraları gibi finansal bilgiler; ve bazı sınırlı tıbbi bilgiler de dahil olmak üzere sağlık sigortası bilgileri.
Söz konusu veri türlerinin genellikle şirketlerin çalışanları hakkında tuttuğu bilgiler (iş kayıtları ve işyeri faydaları gibi) ile ilişkili olduğu göz önüne alındığında, müşterilerden bu bilgiler genellikle istenmediği için veri ihlalinin mevcut ve eski CSC çalışanlarını etkilemesi makuldür. .
CSC ise her iki yönde de açıklama yapmıyor.
CSC sözcüsü Stephen Gilbert, TechCrunch’ın ihlalin çalışanları, müşterileri veya her ikisini birden etkileyip etkilemediği de dahil olmak üzere olayla ilgili spesifik sorularını yanıtlamayı reddetti. Şirket, siber saldırının niteliğini veya şirketin tehdit aktöründen fidye talebi gibi herhangi bir iletişim alıp almadığını açıklamadı.
CSC, iki öğrenci güvenlik araştırmacısı tarafından keşfedilen ve herkesin ücretsiz çamaşır yıkama işlemi yapmasına izin veren basit bir hatayı göz ardı ettikten sonra bu yılın başlarında manşetlere çıktı. Şirket, gecikmeli olarak güvenlik açığını kapattı ve haftalarca şirketi kusur konusunda uyarmaya çalışan araştırmacılardan özür diledi.
Bulgular, şirketin, gelecekteki güvenlik araştırmacılarının hataları veya güvenlik açıklarını özel olarak bildirmek için doğrudan şirketle iletişime geçmesine olanak tanıyan bir güvenlik açığı açıklama programı oluşturmasına yol açtı.
Geçen ay, CSC destekli çamaşır makinelerinde bulunan ve herkesin ücretsiz çamaşır yıkamasına olanak tanıyan yeni bir güvenlik açığının ayrıntıları kamuoyuna açıklandı. Michael Orlitzky, bir blog yazısında, CSC ile çalışan bir çamaşır makinesinin içindeki iki kablonun kısa devre yapmasını içeren donanım düzeyindeki güvenlik açığının, makineyi çalıştırmak için para girme ihtiyacını ortadan kaldırdığını söyledi. Orlitzky bulgularını Cumartesi günü Las Vegas’taki Def Con güvenlik konferansında sunacak.
Kaynak: https://techcrunch.com/2024/08/10/csc-serviceworks-reveals-2023-data-breach-affecting-thousands-of-people/