ABD Sigorta Düzenleyicisi Veri İhlalini Doğruladı

Ne Oldu

Amerika Birleşik Devletleri'nin sigorta sisteminin denetiminden sorumlu olan kâr amacı gütmeyen kuruluş Ulusal Sigorta Komiserleri Birliği (NAIC), önemli bir siber güvenlik ihlali yaşadığını kamuoyuna duyurdu. Kurum tarafından yapılan açıklamada, saldırganların sistemlere sızarak ABD vatandaşlarına ait kredi derecelendirme verilerini de içeren hassas bilgilere eriştiği doğrulandı. Olay, sigortacılık sektöründe ve finans dünyasında endişe yarattı.

NAIC'in paylaştığı zaman çizelgesine göre, siber saldırı ilk olarak 11 Haziran 2026 tarihinde tespit edildi. Kurum, olayın fark edilmesinin ardından hızla bir soruşturma başlattı ve durumu kontrol altına almak için adımlar attı. İlk kamuoyu bilgilendirmesi ise olaydan yaklaşık bir hafta sonra, 17 Haziran'da yapıldı. Süreçle ilgili en son detaylı güncelleme ise 26 Haziran tarihinde paylaşıldı. Bu güncellemede, ihlalin arkasındaki teknik nedenler ve etkilenen verilerin niteliği hakkında daha fazla bilgi verildi. Bu durum, kurumun şeffaflık ilkesi çerçevesinde paydaşlarını ve kamuoyunu bilgilendirme çabasını gösterse de, sızdırılan verilerin hassasiyeti nedeniyle endişeleri tam olarak gidermedi.

Ele Geçirilen Veriler

NAIC tarafından yapılan ön incelemelere göre, saldırganların eriştiği ve bir kısmını yayınladığı veriler oldukça çeşitli ve bazıları kritik nitelikte. Kurum, hangi verilerin sızdırıldığı konusunda şeffaf bir liste paylaştı. Ele geçirilen veriler şunları içeriyor:

• Yasal Finansal Raporlama Bilgileri: Bu kategori, aslında daha önceden eyalet web siteleri veya InsData gibi veri satıcıları aracılığıyla kamuya açık olan bilgileri kapsıyor. Saldırganların bu verileri ele geçirmesi, bilgilerin yeni olmasından ziyade, tek bir kaynaktan toplu olarak elde edilmiş olması açısından önem taşıyor.
• Kredi Derecelendirme Kuruluşu Verileri: İhlalin en hassas kısmını bu veriler oluşturuyor. Sigorta şirketlerinin yatırımlarına ilişkin derecelendirme kararları gibi kritik bilgileri içeren bu veri seti, finansal piyasalar için büyük bir değere sahip. Bu verilerin sızması, hem sigorta şirketlerinin yatırım stratejilerini açığa çıkarabilir hem de piyasada manipülatif hareketlere zemin hazırlayabilir.
• Potansiyel Diğer Depolama Verileri: NAIC, saldırganların potansiyel olarak ek verilere de erişmiş olabileceğini belirtti. Bunlar arasında süresi dolmuş günlük (log) kayıtları veya yapılandırma bilgileri gibi rutin teknik bilgiler yer alıyor. Bu tür veriler ilk bakışta zararsız gibi görünse de, daha sonraki saldırılar için sistemin zayıf noktalarını veya yapısını anlamada kullanılabilir.

Kurum, ihlalden etkilenmeyen veriler hakkında da bilgi vermeye başladı ancak kaynak metinde bu listenin tamamı yer almıyordu. Bu nedenle, hangi kritik verilerin güvende olduğu konusunda net bir tablo henüz ortaya konulmadı. İhlalin bir sonucu olarak, bazı kredi derecelendirme kuruluşlarının NAIC'e veri akışını geçici olarak durdurduğu bildirildi. Bu durum, NAIC'in sigorta şirketlerinin yatırımlarına yeni derecelendirme atama sürecini geçici olarak askıya almasına neden oldu. Kurum, sigorta şirketlerine AVS+ (Automated Valuation Service Plus) sistemini güncellemeler için takip etmeleri yönünde tavsiyede bulundu.

Saldırı Nasıl Gerçekleşti

NAIC'in açıklamasına göre, bu siber saldırı oldukça sofistike bir yöntemle gerçekleştirildi. Saldırganlar, kurumun iç finansal raporlama amacıyla kullandığı Oracle PeopleSoft yazılımında bulunan bir sıfır gün (zero-day) güvenlik açığından faydalandı. Sıfır gün zafiyeti, yazılım geliştiricisinin dahi haberdar olmadığı ve dolayısıyla henüz bir güvenlik yamasının yayınlanmadığı bir güvenlik boşluğu anlamına gelir. Bu tür zafiyetler, saldırganlara tespit edilmeden sistemlere sızma konusunda büyük bir avantaj sağlar.

Kurum, bu olayın tekil bir saldırı olmadığını, aksine o dönemde birden fazla kuruluşu hedef alan daha geniş bir siber saldırı kampanyasının parçası olduğunu belirtti. Saldırganlar, PeopleSoft ortamına sızdıktan sonra, belirli veri depolama alanlarına geçici erişim sağlamak için gerekli olan bilgileri ele geçirdi. Bu erişimi kullanarak da yukarıda listelenen hassas verileri kopyaladılar ve bir kısmını internette yayınladılar. Saldırının arkasındaki tehdit aktörü veya saldırının tam teknik detayları hakkında henüz bir açıklama yapılmadı.

Etkilenenler Kim

Bu veri ihlalinin etkileri oldukça geniş bir kitleyi kapsıyor. Doğrudan etkilenenler şunlardır:

• Ulusal Sigorta Komiserleri Birliği (NAIC): Kurumun kendisi, operasyonel bütünlüğü ve itibarı açısından saldırının birincil kurbanıdır. Veri akışlarının durması ve hizmetlerin askıya alınması, kurumun temel işlevlerini yerine getirme kabiliyetini doğrudan etkilemiştir.
• Sigorta Şirketleri: Yatırım derecelendirmeleri askıya alındığı için, bu şirketlerin yatırım stratejileri ve finansal planlamaları olumsuz etkilenebilir. Ayrıca, NAIC sistemlerine olan güvenleri sarsılmıştır.
• Kredi Derecelendirme Kuruluşları: Kendi verilerinin sızdırılması ve NAIC ile olan veri akışlarını durdurmak zorunda kalmaları, bu kuruluşları da olayın bir parçası haline getirmiştir.
• ABD Vatandaşları: Kredi derecelendirme verilerinin sızdırılması, dolaylı olarak ABD vatandaşlarını etkilemektedir. Bu verilerin kimlik hırsızlığı veya finansal dolandırıcılık gibi amaçlarla kullanılıp kullanılmayacağı henüz belirsizdir.

Ne Yapabilirsin

Bu tür büyük ölçekli bir ihlal karşısında farklı grupların alabileceği bazı önlemler bulunmaktadır:

• Oracle PeopleSoft Kullanan Kurumlar: Kaynak, saldırının birden fazla kuruluşu hedef alan geniş bir kampanyanın parçası olduğunu belirtiyor. Bu nedenle, Oracle PeopleSoft yazılımını kullanan tüm kuruluşların, Oracle tarafından yayınlanacak acil durum yamalarını derhal uygulaması, sistemlerinde şüpheli aktiviteleri araştırması ve olası bir sızıntıya karşı proaktif önlemler alması kritik önem taşımaktadır.
• Sigortacılık Sektörü Profesyonelleri: NAIC'in tavsiyesine uyarak, AVS+ platformundaki güncellemeleri yakından takip etmeliler. Ayrıca, yatırım derecelendirmeleriyle ilgili olası gecikmelere karşı iş planlarını gözden geçirmeleri gerekebilir.
• Bireysel Kullanıcılar ve Vatandaşlar: Kredi derecelendirme verilerinin sızdırılmış olma ihtimaline karşı, vatandaşların kredi raporlarını düzenli olarak kontrol etmeleri ve şüpheli veya tanımadıkları herhangi bir aktiviteyi ilgili kurumlara bildirmeleri önerilir. Kimlik hırsızlığına karşı tetikte olmak önemlidir.

Şirket Ne Diyor

NAIC, olayla ilgili kamuoyuna yaptığı açıklamalarda durumu şeffaf bir şekilde yönetmeye çalıştı. Kurumun 26 Haziran tarihli son güncellemesinde, saldırının Oracle PeopleSoft'taki bir sıfır gün zafiyetinden kaynaklandığı ve bunun birden fazla kurumu etkileyen genel bir kampanyanın parçası olduğu teyit edildi. Açıklamada, "Yetkisiz bir aktör, iç finansal raporlama amaçlarımız için kullandığımız Oracle PeopleSoft'taki bir sıfır gün güvenlik açığından yararlanarak ortamımızın bir bölümüne erişim sağladı" ifadelerine yer verildi. NAIC, soruşturmanın devam ettiğini ve etkilenen tarafları bilgilendirmeye devam edeceklerini belirtti. Ayrıca, kredi derecelendirme kuruluşlarıyla veri akışını yeniden sağlamak ve operasyonları normale döndürmek için çalıştıklarını vurguladılar.

Kaynak

https://www.infosecurity-magazine.com/news/us-insurance-regulator-confirms/