Bilgisayar korsanlığı forumu sızıntısı, Home Depot’un çalışan verilerinin üçüncü taraf bir yazılım satıcısı aracılığıyla ele geçirildiğini doğrulamasına yol açtı.
Home Depot, ihlal edilen hizmet olarak yazılım (SaaS) satıcısını tanımlamadı ancak bir hatanın çalışanlarının “küçük bir örneğinin” adlarını, kurumsal kimliklerini ve e-posta adreslerini açığa çıkardığını söyledi. raporlara göre. Artık Dark Web’de satışa sunulan bu veri türü, hedefli kimlik avı siber saldırılarını körüklemek için kullanılabilecek türden bir veri.
DoControl ürün direktörü Tamir Passi’ye göre bu olay, güçlü siber güvenlik korumasına sahip SaaS tedarikçilerini seçmenin işletmeler için ne kadar kritik olduğunu vurguluyor.
Yazılım Tedarik Zinciri Siber Riski
Passi, verilerinize erişim izni vermeden önce üçüncü taraf tedarikçinin iş akışını test etmenizi önerir.
Passi yaptığı açıklamada, “İdeal olarak, gerçek çalışan verileri yeni bir satıcının iş akışını test etmek için kullanılmamalıdır” dedi. “Genel olarak, test için olduğu gibi üretim için de gerekli ve aynı güvenlik ve gizlilik protokollerinin tümü mevcut olmadığı sürece sistem testi ve doğrulama, üretim dışı veri kümeleriyle yapılmalıdır.”
Passi, veriler bir ortağa aktarıldığında güvenliği konusunda herhangi bir şey yapmak için artık çok geç olduğu konusunda uyardı.
Hoxhunt’un kurucu ortağı ve CEO’su Mika Alto, bir SaaS satıcısını seçmeden önce durum tespiti ve incelemenin yanı sıra düzenli denetimler yapılmasını da tavsiye ediyor.
Alto yaptığı açıklamada, “Tehdit ortamı her zaman değişiyor, bu nedenle en iyi güvenlik uygulamaları konusunda sürekli eğitim hayati önem taşıyor.” dedi. “Her seviyedeki çalışanlar ve güvenlik profesyonelleri, üçüncü taraf kaynaklardan kaynaklanabilecekler de dahil olmak üzere potansiyel tehditleri tanıyacak ve bunlara yanıt verecek donanıma sahip olmalıdır.”
On yıl önce Home Depot çok daha büyük bir veri ihlaliyle karşılaştı ABD ve Kanada’daki mağazalarda yapılan alışverişlerle ilgili müşteri kredi kartı verilerinin ele geçirildiği yer.