Η παραβίαση δεδομένων του Mr Cooper είχε ως αποτελέσμα να κλαπούν ευαίσθητες πληροφορίες που ανήκουν σε περισσότερους από 14 εκατομμύρια κατόχους στεγαστικών δανείων. Συνεπώς, αυτή η κατάσταση υπογραμμίζει την ανάγκη για τα χρηματοπιστωτικά ιδρύματα να εφαρμόζουν πιο ισχυρά μέτρα ασφαλείας.
Ο Nick Tausek, επικεφαλής αναλυτής ασφαλείας στη Swimlane, είπε ότι η γκάφα ασφαλείας που προέκυψε σε τούτη την υπόθεση εγείρει ερωτήματα σχετικά με τις πρακτικές θωράκισης των πληροφοριακών συστημάτων στα «μη τραπεζικά» χρηματοπιστωτικά ιδρύματα, τα οποία αντιπροσωπεύουν σημαντικό μέρος του ευρύτερου κλάδου χρηματοοικονομικών υπηρεσιών.
Η παραβίαση δεδομένων του Mr Cooper είδε τους χάκερ να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα 14,7 εκατομμυρίων πελατών, καθιστώντας την μια από τις μεγαλύτερες παραβιάσεις στην πρόσφατη ιστορία στο κυβερνοέγκλημα.
Η εταιρεία ενημερώθηκε αρχικά για μη εξουσιοδοτημένη πρόσβαση τρίτων στα τεχνολογικά της συστήματα στις 31 Οκτωβρίου 2023, σύμφωνα με την κατάθεση της στη SEC, όπου ενημέρωσε τη συγκεκριμένη υπηρεσία για το περιστατικό.
Σε μια αναλυτική εξέταση που διεξήχθη από την ίδια την εταιρεία προσδιόρισε τις ευαίσθητες πληροφορίες που βρίσκονται στα χέρια των κυβερνοεγκληματιών. Σύμφωνα με τις έρευνας που διεξήχθησαν διαπιστώθηκε ότι από αυτήν την παραβίαση δεδομένων επηρεάστηκαν τόσο οι σημερινοί πελάτες, όσο και οι πρώην.
Το Mr Cooper ανέφερε ότι οι κυβερνοεγκληματίες κατόρθωσαν να διεισδύσουν στα πληροφοριακά συστήματα της εταιρείας και να αποκτήσουν πρόσβαση στις πληροφορίες πελατών της, όπως ονόματα, διευθύνσεις, αριθμούς τηλεφώνου, ημερομηνίες γέννησης, αριθμούς κοινωνικής ασφάλισης και αριθμούς τραπεζικών λογαριασμών.
Η έκταση των προσωπικών πληροφοριών στα οποία είχαν πρόσβαση οι χάκερ σημαίνει ότι όλοι οι πελάτες που επηρεάζονται που επηρεάστηκαν από αυτό το συμβάν είναι πλέον εκτεθειμένοι σε πιθανές μελλοντικές απάτες, συμπεριλαμβανομένων των phishing, τραπεζικές απάτες, κοινωνική μηχανική (social engineering), και παράνομη χρήση των προσωπικών του στοιχείων για κακόβουλο σκοπό.
Σε μια ανακοίνωση που εκδόθηκε την περασμένη εβδομάδα, το συγκεκριμένο χρηματοπιστωτικό ίδρυμα παροχής δανείων για αγορά σπιτιού, δήλωσε ότι θα παρέχει δύο χρόνια δωρεάν υπηρεσίες παρακολούθησης για τυχόν απάτη και προστασίας ταυτότητας σε κάθε υπάρχον ή πρώην πελάτη που επηρεάστηκε από το συμβάν.
Αυτή η υπηρεσία θα παρέχεται από ειδικά στελεχωμένο προσωπικό στον τομέα της κυβερνοασφάλεια, ενώ επιπρόσθετα η εταιρεία έχει επίσης δημιουργήσει ένα αποκλειστικό τηλεφωνικό κέντρο για την παροχή πρόσθετης υποστήριξης στους πελάτες της.
Στην κατάθεσή της στη SEC, το συγκεκριμένο χρηματοπιστωτικό ίδρυμα των ΗΠΑ εκτίμησε πως το συνολικό οικονομικό κόστος για την απόφασής του να προσφέρει στους πελάτες υπηρεσίες προστασίας ταυτότητας για δύο χρόνια, ανέρχεται σε περίπου 25 εκατομμύρια δολάρια.
Η παραβίαση του Mr Cooper δημιουργεί ανησυχίες σχετικά με την ασφάλεια των χρηματοπιστωτικών ιδρυμάτων
Αυτό το περιστατικό συνέβη, αφού η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) τροποποίησε τον Κανόνα Διασφαλίσεων που απαιτεί από τα μη τραπεζικά χρηματοπιστωτικά ιδρύματα να αναφέρουν παραβιάσεις δεδομένων απευθείας στην FTC.
Οι νέες απαιτήσεις αποκάλυψης τέτοιου είδους περιστατικών, που πρόκειται να τεθούν σε ισχύ το 2024, θα υποχρεώνουν τις εταιρείες να αποκαλύπτουν τυχόν παραβιάσεις δεδομένων που σχετίζεται με την πρόσβαση των κυβερνοεγκληματιών στις προσωπικές πληροφορίες τουλάχιστον 500 πελατών.
Αυτές οι γνωστοποιήσεις θα έχουν προθεσμία 30 ημερών, ενώ σε περίπτωση που οι εταιρείες δεν προβούν σε τούτη την ενέργεια μετά το πέρας αυτής της καταληκτικής ημερομηνίας, τότε ενδεχομένως να επιβληθούν κυρώσεις από την FTC.
Με αυτές τις νέες απαιτήσεις, πλέον τα μη τραπεζικά χρηματοπιστωτικά ιδρύματα είναι αναγκασμένα να διασφαλίσουν ότι τα πρωτόκολλα ασφαλείας τους είναι ισχυρά και είναι σε θέση να ανταποκρίνονται άμεσα σε παραβιάσεις δεδομένων, επισημαίνουν οι ειδικοί.
Ο Nick Tausek πρόσθετε ότι ένας μεγάλος αριθμός επαγγελματιών που εργάζονται στο τμήμα ασφάλειας σε χρηματοπιστωτικά ιδρύματα αναφέρουν ότι αυτές οι παραβιάσεις δεδομένων είναι καταστροφικές από πολλές απόψεις, και δεν θεωρούνται πλήγμα μόνο για τα πληροφοριακά συστήματα.
Σχεδόν οι μισοί (42%) των επαγγελματιών ασφάλειας σε χρηματοοικονομικές εταιρείες ανέφεραν τουλάχιστον μία παραβίαση κατά το 2023, σύμφωνα με πρόσφατη μελέτη, με το μέσο κόστος να ανέρχεται σε περίπου 1 εκατομμύριο δολάρια.
Ως εκ τούτου, ο Tausek υπογράμμισε τη σημασία των ισχυρών μέτρων ασφαλείας σε αυτόν τον κλάδο, όπου οι κυρώσεις για παραβιάσεις είναι πολύ υψηλές.
«Οργανισμοί που διαχειρίζονται εκατομμύρια πελάτες’ Τα ευαίσθητα δεδομένα πρέπει να βρίσκονται σε ασφαλές μέρος, αξιολογώντας συνεχώς τα μέτρα ασφαλείας τους».
Ο Andrew Costis, επικεφαλής στην Ομάδα Έρευνας του AttackIQ, επιβεβαίωσε την ορθότητα των σχολίων του Tausek, προσθέτοντας ότι οι εταιρείες χρηματοοικονομικών υπηρεσιών πρέπει να δώσουν μεγαλύτερη έμφαση στην ασφάλεια, δεδομένης της κρίσιμης φύσης των δεδομένων που κατέχουν και επεξεργάζονται.
«Για οργανισμούς όπως ο Mr Cooper με εκατομμύρια πελάτες, μια και μόνο παραβίαση μπορεί να έχει καταστροφικές συνέπειες», είπε ο Andrew Costis.
«Για να αποφευχθούν τέτοιου είδους περιστατικά, είναι ζωτικής σημασίας μια προληπτική στρατηγική άμυνας στον κυβερνοχώρο, ώστε να αποκρούει τις επιθέσεις. Μελετώντας τις κοινές τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιούνται από τους κυβερνοεγκληματίες, οι οργανισμοί πρέπει να δοκιμάζουν σε διαρκή βάση την αξιοπιστία των συστημάτων τους απέναντι σε τέτοιου είδους απειλές», ανέφερε ο Andrew Costis.
