Oops.
Geçen yılın sonlarında, Rhode Island eyaleti, hain bireylerin Deloitte tarafından inşa edilen ve yönetilen bir sistem olan devlet yardım sistemi RI Bridges'e eriştiğini keşfetti. Bu, bilgisayar korsanlarının Medicaid, Snap, Medicaid, HealthSource RI aracılığıyla satın alınan sağlık kapsamı ve devlet tarafından sağlanan evde bakım hizmetleri gibi devlet programlarını kullanan Rhode Islanders'ın kişisel bilgilerini aldığı anlamına geliyordu.
Şubat ayında Deloitte'nin, ihlalle ilgili masraflara yardımcı olmak için valinin emriyle devlete 5 milyon dolarlık bir ödeme yaptığını bildirdik. O zaman yazdıklarımızı tekrar ziyaret etmek:
Görünüşe göre Deloitte UK'yi alan grup [in 2024] Deloitte tarafından yönetilen RI köprüler sistemine nüfuz eden aynıdır: Beyin Cypher. Yaralanmaya hakaret ekleyen Brain Cypher, Deloitte'ye aldıkları bazı verilerin ekran görüntüsünü gönderdi.
İhlal haberleri Aralık ayı ortasında haberlere çarptığında, Deloitte şu ifadeyi yayınladı: “Soruşturmamız, iddiaların Deloitte ağının dışında oturan tek bir müşterinin sistemiyle ilgili olduğunu gösteriyor. Deloitte sistemi etkilenmedi.” Vay, sistemleriniz güvenli olduğu sürece. Kim gıda pulları amirite bir grup çocuğu önemsiyor.
İhlal isabetinden kısa bir süre sonra bir basın toplantısında, Rhode Island'ın baş dijital subayı firmanın parayı geçmesine izin vermek için o kadar hızlı değildi:
Bir Smith Hill haber konferansı sırasında hack'in nasıl gerçekleştiğini ve Deloitte'nin sorumlu olup olmadığı soruldu, [CDO Brian] Tardiff, “Bu devam eden bir soruşturma, bu yüzden bu noktada herhangi bir ayrıntı sağlayamayız. Bu ayrıntıları sağlayacak tam bir kök neden analizi bekliyoruz.”
Tardiff, Ri Bridges'ın “Deloitte tarafından korunduğunu ve işletildiğini ekledi, bu yüzden buna inanıyoruz [the breach] devletten değil. ”
Şeylerin dibine ulaşmak için, siber güvenlik firması Crowdstrike bağımsız bir soruşturma yapmak için getirildi ve sonuçlar var. 15 Mayıs'ta bir basın açıklaması ile belirtildiği gibi zaman çizelgesi aşağıdaki gibidir:
- Temmuz 2024'te, bir tehdit oyuncusu Deloitte kimlik bilgilerinin yetkisiz kullanımı yoluyla Ribridges sistemine giriş yaptı.
- Temmuz ve Kasım 2024 arasında, aktör Ribridges ortamında 28 sisteme erişti.
- 11-28 Kasım 2024 arasında, aktör sistemden çok sayıda dosyayı söndürdü.
- 28 Kasım'dan sonra aktör artık sistemde bulunmadı.
Eğer okumayı önemsiyorsanız, en alttaki tam Crowdstrike raporunu ekledik. Deloitte kimlik bilgilerinin kullanıldığını açıkça söylemiyor, sadece “tehdit aktörünün, Rhode Island'ın özel olmayan bir hesap dışı durumunu kullanarak harici bir IP adresinden Ribridges üretimsiz sanal özel ağa (VPN) başarıyla doğrulandığını” söyledi.
Bu cümlenin ardından bir dipnot “Deloitte MFA [Multi Factor Authentication] Ribridges üretim ortamı ile ilgili tüm hesaplar için mevcuttu. MFA olay günlükleri, MFA'nın tehdit aktörü VPN oturumları için tetiklenip tetiklenmediğini belirlemek için CrowdStrike tarafından gözden geçirilmek üzere tutulmadı. ”
Raporda, “Crowdstrike, tehdit oyuncunun VPN'ye doğrulamak için kullanılan kimlik bilgilerine nasıl eriştiğini veya çok faktörlü kimlik doğrulamasının (MFA) atlanıp atlanmadığını belirleyemedi” diye ekledi.
Buna ek olarak, Crowdstrike 107.757 etkilenen insanı keşfetti ve etkilenen bireylerin sayısını 644.401'e kadar getirdi. Devletin basın açıklaması, “Yakın zamanda tanımlanan bireylerin bazıları ne ribrides müşterileri ne de avantajlar için yararlar için değil, ancak doğrulama amacıyla federal ajanslarla paylaşılan dosyalara dahil edildi” dedi.
Rhode Island, Deloitte tarafından yönetilen mevcut Ribridges sistemini yeni bir sisteme geçiş amacıyla modernize etmek için seçenekler izleme sürecinde.
Bir yanıt yazın