ABŞ Sığorta Tənzimləyicisi Məlumat Sızmasını Təsdiqlədi

Nə Baş Verdi

Amerika Birləşmiş Ştatlarının sığorta sisteminə nəzarətdən məsul olan qeyri-kommersiya təşkilatı, Sığorta Komissarları Milli Assosiasiyası (NAIC), ciddi bir kibertəhlükəsizlik pozuntusu ilə üzləşdiyini ictimaiyyətə açıqladı. Təşkilat tərəfindən verilən bəyanatda, hakerlərin sistemlərə sızaraq ABŞ vətəndaşlarına aid kredit reytinq məlumatlarını da ehtiva edən həssas məlumatlara giriş əldə etdiyi təsdiqləndi. Hadisə sığorta sektorunda və maliyyə dünyasında narahatlıq yaratdı.

NAIC-in paylaşdığı zaman cədvəlinə görə, kiberhücum ilk dəfə 11 iyun 2026-cı il tarixində aşkar edilib. Təşkilat, hadisənin fərqinə vardıqdan sonra sürətlə araşdırmaya başlayıb və vəziyyəti nəzarət altına almaq üçün addımlar atıb. İlk ictimai məlumatlandırma isə hadisədən təxminən bir həftə sonra, 17 iyunda edilib. Proseslə bağlı ən son ətraflı yeniləmə isə 26 iyunda paylaşıldı. Bu yeniləmədə, pozuntunun arxasındakı texniki səbəblər və təsirlənən məlumatların xarakteri haqqında daha çox məlumat verildi. Bu vəziyyət, təşkilatın şəffaflıq prinsipi çərçivəsində maraqlı tərəfləri və ictimaiyyəti məlumatlandırma səyini göstərsə də, sızdırılan məlumatların həssaslığı səbəbindən narahatlıqları tamamilə aradan qaldırmadı.

Ələ Keçirilən Məlumatlar

NAIC tərəfindən aparılan ilkin araşdırmalara görə, hakerlərin əldə etdiyi və bir hissəsini yayımladığı məlumatlar olduqca müxtəlifdir və bəziləri kritik xarakter daşıyır. Təşkilat, hansı məlumatların sızdırıldığı barədə şəffaf bir siyahı paylaşıb. Ələ keçirilən məlumatlara bunlar daxildir:

• Qanuni Maliyyə Hesabatı Məlumatları: Bu kateqoriya, əslində daha əvvəl əyalət veb-saytları və ya InsData kimi məlumat satıcıları vasitəsilə ictimaiyyətə açıq olan məlumatları əhatə edir. Hakerlərin bu məlumatları ələ keçirməsi, məlumatın yeni olmasından daha çox, tək bir mənbədən toplu şəkildə əldə edilməsi baxımından əhəmiyyətlidir.
• Kredit Reytinq Agentliyi Məlumatları: Pozuntunun ən həssas hissəsini bu məlumatlar təşkil edir. Sığorta şirkətlərinin investisiyalarına dair reytinq qərarları kimi kritik məlumatları ehtiva edən bu məlumat dəsti, maliyyə bazarları üçün böyük dəyərə malikdir. Bu məlumatların sızması həm sığorta şirkətlərinin investisiya strategiyalarını ifşa edə bilər, həm də bazarda manipulyativ hərəkətlərə zəmin yarada bilər.
• Potensial Digər Saxlama Məlumatları: NAIC, hakerlərin potensial olaraq əlavə məlumatlara da giriş əldə edə biləcəyini bildirdi. Bunlar arasında vaxtı keçmiş qeyd (log) jurnalları və ya konfiqurasiya məlumatları kimi rutin texniki məlumatlar yer alır. Bu cür məlumatlar ilk baxışda zərərsiz görünsə də, sonrakı hücumlar üçün sistemin zəif nöqtələrini və ya strukturunu anlamaqda istifadə edilə bilər.

Təşkilat, pozuntudan təsirlənməyən məlumatlar haqqında da məlumat verməyə başladı, lakin mənbə mətnində bu siyahının hamısı yer almırdı. Buna görə də, hansı kritik məlumatların təhlükəsiz olduğu barədə dəqiq bir mənzərə hələ formalaşmayıb. Pozuntunun bir nəticəsi olaraq, bəzi kredit reytinq agentliklərinin NAIC-ə məlumat axınını müvəqqəti olaraq dayandırdığı bildirilir. Bu vəziyyət, NAIC-in sığorta şirkətlərinin investisiyalarına yeni reytinqlər təyin etmə prosesini müvəqqəti olaraq dayandırmasına səbəb oldu. Təşkilat, sığorta şirkətlərinə AVS+ (Automated Valuation Service Plus) sistemini yeniləmələr üçün izləmələrini tövsiyə etdi.

Hücum Necə Baş Verdi

NAIC-in açıqlamasına görə, bu kiberhücum olduqca mürəkkəb bir üsulla həyata keçirilib. Hakerlər, təşkilatın daxili maliyyə hesabatları məqsədilə istifadə etdiyi Oracle PeopleSoft proqram təminatında mövcud olan bir sıfır gün (zero-day) təhlükəsizlik boşluğundan faydalanıblar. Sıfır gün zəifliyi, proqram təminatı hazırlayanın belə xəbərdar olmadığı və buna görə də hələ bir təhlükəsizlik yamasının yayımlanmadığı bir təhlükəsizlik boşluğu deməkdir. Bu cür zəifliklər, hakerlərə sistemlərə aşkarlanmadan sızmaq üçün böyük bir üstünlük verir.

Təşkilat, bu hadisənin tək bir hücum olmadığını, əksinə o dövrdə bir çox təşkilatı hədəf alan daha geniş bir kiberhücum kampaniyasının bir hissəsi olduğunu bildirdi. Hakerlər, PeopleSoft mühitinə sızdıqdan sonra, müəyyən məlumat saxlama sahələrinə müvəqqəti giriş əldə etmək üçün lazımi məlumatları ələ keçirdilər. Bu girişdən istifadə edərək yuxarıda sadalanan həssas məlumatları kopyaladılar və bir hissəsini internetdə yayımladılar. Hücumun arxasındakı təhdid aktyoru və ya hücumun tam texniki detalları haqqında hələ bir açıqlama verilməyib.

Kimlər Təsirləndi

Bu məlumat sızmasının təsirləri olduqca geniş bir kütləni əhatə edir. Birbaşa təsirlənənlər bunlardır:

• Sığorta Komissarları Milli Assosiasiyası (NAIC): Təşkilatın özü, əməliyyat bütövlüyü və nüfuzu baxımından hücumun əsas qurbanıdır. Məlumat axınlarının dayanması və xidmətlərin dayandırılması, təşkilatın əsas funksiyalarını yerinə yetirmə qabiliyyətinə birbaşa təsir edib.
• Sığorta Şirkətləri: İnvestisiya reytinqləri dayandırıldığı üçün, bu şirkətlərin investisiya strategiyaları və maliyyə planlamaları mənfi təsirlənə bilər. Həmçinin, NAIC sistemlərinə olan etibarları sarsılıb.
• Kredit Reytinq Agentlikləri: Öz məlumatlarının sızdırılması və NAIC ilə məlumat axınlarını dayandırmaq məcburiyyətində qalmaları, bu təşkilatları da hadisənin bir tərəfi halına gətirib.
• ABŞ Vətəndaşları: Kredit reytinq məlumatlarının sızdırılması, dolayı yolla ABŞ vətəndaşlarına təsir edir. Bu məlumatların şəxsiyyət oğurluğu və ya maliyyə fırıldaqçılığı kimi məqsədlərlə istifadə edilib-edilməyəcəyi hələ bəlli deyil.

Nə Edə Bilərsiniz

Bu cür geniş miqyaslı bir pozuntu qarşısında fərqli qrupların ata biləcəyi bəzi addımlar var:

• Oracle PeopleSoft İstifadə Edən Təşkilatlar: Mənbə, hücumun bir çox təşkilatı hədəf alan geniş bir kampaniyanın bir hissəsi olduğunu bildirir. Buna görə, Oracle PeopleSoft proqram təminatından istifadə edən bütün təşkilatların, Oracle tərəfindən yayımlanacaq təcili yamaları dərhal tətbiq etməsi, sistemlərində şübhəli fəaliyyətləri araşdırması və mümkün bir sızıntıya qarşı proaktiv tədbirlər görməsi kritik əhəmiyyət daşıyır.
• Sığorta Sektoru Peşəkarları: NAIC-in tövsiyəsinə uyğun olaraq, AVS+ platformundakı yeniləmələri yaxından izləməlidirlər. Həmçinin, investisiya reytinqləri ilə bağlı mümkün gecikmələrə qarşı iş planlarını nəzərdən keçirmələri lazım ola bilər.
• Fərdi İstifadəçilər və Vətəndaşlar: Kredit reytinq məlumatlarının sızdırılma ehtimalına qarşı, vətəndaşların kredit hesabatlarını mütəmadi olaraq yoxlamaları və şübhəli və ya tanımadıqları hər hansı bir fəaliyyəti müvafiq qurumlara bildirmələri tövsiyə olunur. Şəxsiyyət oğurluğuna qarşı ayıq-sayıq olmaq vacibdir.

Şirkət Nə Deyir

NAIC, hadisə ilə bağlı ictimaiyyətə verdiyi açıqlamalarda vəziyyəti şəffaf şəkildə idarə etməyə çalışdı. Təşkilatın 26 iyun tarixli son yeniləməsində, hücumun Oracle PeopleSoft-dakı bir sıfır gün zəifliyindən qaynaqlandığı və bunun bir çox təşkilatı təsir edən ümumi bir kampaniyanın bir hissəsi olduğu təsdiqləndi. Açıqlamada, "İcazəsiz bir aktor, daxili maliyyə hesabatı məqsədlərimiz üçün istifadə etdiyimiz Oracle PeopleSoft-dakı bir sıfır gün təhlükəsizlik boşluğundan yararlanaraq mühitimizin bir hissəsinə giriş əldə etdi" ifadələrinə yer verildi. NAIC, araşdırmanın davam etdiyini və təsirlənən tərəfləri məlumatlandırmağa davam edəcəklərini bildirdi. Həmçinin, kredit reytinq agentlikləri ilə məlumat axınını yenidən təmin etmək və əməliyyatları normala qaytarmaq üçün çalışdıqlarını vurğuladılar.

Mənbə

https://www.infosecurity-magazine.com/news/us-insurance-regulator-confirms/