Çamaşır devi CSC ServiceWorks, yakın zamanda 2023’te gerçekleşen bir siber saldırıyı ifşa etmesinin ardından on binlerce kişinin kişisel bilgilerinin sistemlerinden çalındığını söyledi.
New York merkezli çamaşır devi, Kuzey Amerika ve Avrupa’daki konut binalarına, otellere ve üniversite kampüslerine bir milyondan fazla internet bağlantılı çamaşır makinesi sağlıyor. CSC’nin web sitesine göre ayrıca 3.200’den fazla ekip üyesi istihdam ediliyor.
Birinde veri ihlali bildirimi Cuma günü geç saatlerde yapılan başvuruda CSC, veri ihlalinin Maine’deki yüzlerce kişi de dahil olmak üzere en az 35.340 kişiyi etkilediğini doğruladı.
Veri ihlali haberi, CSC’yi son bir yıldır etkileyen en son güvenlik sorunu oldu. Çok sayıda güvenlik araştırmacısı, şirketin çamaşır platformunda şirket gelirini kaybetmesine neden olabilecek basit ama kritik güvenlik açıkları bulduklarını söyledi.
CSC, veri ihlali bildiriminde, bir saldırganın 23 Eylül 2023’te sistemlerine girdiğini ve şirketin saldırganı keşfettiği 4 Şubat 2024’e kadar beş ay boyunca ağına erişim sağladığını söyledi. Şirketin ihlali tespit etmesinin neden birkaç ay sürdüğü bilinmiyor. CSC, hangi verilerin çalındığını belirlemesinin Haziran ayına kadar sürdüğünü söyledi.
Çalınan veriler arasında isimler, doğum tarihleri, iletişim bilgileri, Sosyal Güvenlik ve ehliyet numaraları gibi resmi kimlik belgeleri, banka hesap numaraları gibi finansal bilgiler ve bazı sınırlı tıbbi bilgiler de dahil olmak üzere sağlık sigortası bilgileri yer alıyor.
Söz konusu veri türlerinin genellikle şirketlerin çalışanları hakkında tuttuğu bilgilerle (iş kayıtları ve işyeri faydaları gibi) ilgili olduğu göz önüne alındığında, müşterilerden genellikle bu bilgiler istenmediği için veri ihlalinin mevcut ve eski CSC çalışanlarını etkilemesi olasıdır.
CSC ise her iki yönde de açıklama yapmadı.
CSC sözcüsü Stephen Gilbert, TechCrunch’ın olayla ilgili özel sorularını yanıtlamayı reddetti; bunlara ihlalin çalışanları, müşterileri veya her ikisini de etkileyip etkilemediği de dahildi. Şirket, siber saldırının niteliğini veya şirketin tehdit aktöründen fidye talebi gibi herhangi bir iletişim alıp almadığını açıklamadı.
CSC, iki öğrenci güvenlik araştırmacısı tarafından keşfedilen ve herkesin ücretsiz çamaşır yıkama döngüleri çalıştırmasına izin veren basit bir hatayı görmezden gelerek bu yılın başlarında manşetlere çıktı. Şirket, güvenlik açığını gecikmeli olarak düzeltti ve haftalarca şirketi bu kusurdan haberdar etmeye çalışan araştırmacılardan özür diledi.
Bulgular şirketi şu sonuca yöneltti: bir güvenlik açığı ifşa programı kurunBu, gelecekteki güvenlik araştırmacılarının hataları veya güvenlik açıklarını özel olarak bildirmek için doğrudan şirketle iletişim kurmalarına olanak tanır.
Geçtiğimiz ay, ayrıntıları yeni bir güvenlik açığı CSC destekli çamaşır makinelerinde bulunan ve herkesin ücretsiz çamaşır yıkama olanağı sağlayan bilgiler kamuoyuna açıklandı. Michael Orlitzky bir blog yazısında şöyle dedi CSC ile çalışan bir çamaşır makinesinin içindeki iki telin kısa devre yapmasını içeren donanım düzeyindeki güvenlik açığının, makineyi çalıştırmak için jeton girme gereksinimini ortadan kaldırdığı belirtiliyor. Orlitzky’nin bulgularını sunmak Cumartesi günü Las Vegas’ta düzenlenen Def Con güvenlik konferansında.
