Carnival Cruises, siber saldırılardan sonra 6 milyon $+ ödemeyi kabul etti • Kayıt


Carnival Cruise Lines, bir dizi siber saldırıda müşteriler ve çalışanlar hakkında hassas kişisel bilgilere erişilmesinin ardından ABD’de 46 eyalet tarafından açılan iki ayrı davayı sona erdirmek için 6 milyon dolardan fazla para ödeyecek.

Birkaç yıl önce, koronavirüs pandemisi hakim olurken, Miami merkezli biz meydana çıkarmak Davetsiz misafirler yalnızca bazı verilerini şifrelemekle kalmadı, aynı zamanda neredeyse her Amerikan eyaletinde binlerce insan için adlar ve adresler, Sosyal Güvenlik bilgileri, ehliyet ve pasaport numaraları ve sağlık ve ödeme bilgileri gibi bir veri hazinesi indirdi.

Kruvaziyer hattı Mayıs 2019’da şüpheli aktivitenin farkına vardığı için her şey bir yıldan fazla bir süre önce ters gitmeye başladı. Görünüşe göre bu, Mart 2020’ye kadar açıklanmadı.

2019’da güvenlik operasyonları ekibi, diğer adreslere spam gönderen dahili bir e-posta hesabı tespit etti. Kötü niyetli kişilerin 124 çalışan Microsoft Office 365 e-posta hesabını ele geçirdiği ve daha fazla kimlik bilgisi toplamak için kimlik avı e-postaları göndermek için bu hesapları kullandığı ortaya çıktı. Bunun, davetsiz misafirlere 180.000 Carnival çalışanı ve müşterisine ait kişisel verilere erişim sağladığı söylendi. Muhtemelen kötüler ilk olarak kimlik avı postaları veya kaba zorlama parolaları kullanarak içeri girdiler. Her iki durumda da, çok faktörlü kimlik doğrulama yoktu.

Ardından, Ağustos 2020’de şirket, yukarıda belirtilen fidye yazılımına maruz kaldığını ve dosyalarının kopyalarının çalındığını söyledi. Ocak 2021’de tekrar kötü amaçlı yazılım bulaştı ve yine hassas bilgiler – özellikle müşteri pasaport numaraları ve doğum tarihleri ​​ve çalışanların kredi kartı numaraları – indirildi. Ve o yılın Mart ayında, bir kimlik avı e-postası göndermek için bir çalışanın iş e-posta hesabı tekrar ele geçirildi. Daha hassas bilgiler açığa çıktı.

Geçen hafta sonlarında, New York’un Finansal Hizmetler Departmanı (DFS), Carnival’ın NY’nin Siber Güvenlik Yönetmeliği’ni ihlal ettiği için eyalete 5 milyon dolar ödemeyi kabul ettiğini duyurdu. Departmana göre, Karnaval bilgisayar sistemlerini ve verilerini savunmada beceriksizdi ve toplamda “2019 ile 2021 yılları arasında iki fidye yazılımı saldırısı da dahil olmak üzere dört siber güvenlik olayına konu olmuştu.”

DFS Müfettişi Adrienne Harris, “Kişisel verileri açığa çıkaran bir veri ihlali, kötü aktörlerin diğer şeylerin yanı sıra, bir bireyin mali sağlığı üzerinde önemli etkileri olabilecek kimlik hırsızlığı yapmasına izin verir” dedi. Beyan. “Şirketlerin tüketicilerin kişisel bilgilerini korumak için uygun önlemleri almaları çok önemlidir.”

Connecticut AG William Tong’a göre, güvenliği ihlal edilmiş verileri olan herkesin bir ihlalin ardından mümkün olan en kısa sürede bilgilendirilmesi de önemlidir. NY, Carnival, Connecticut ve bir dizi başka ABD eyaleti için cezasını açıklamasından bir gün önce, 2019 siber saldırısıyla ilgili olarak Carnival ile 1,25 milyon dolarlık bir anlaşmaya vardıklarını duyurdu.

Tong, “Bu anlaşma, şirketlerin hangi bilgileri tuttukları konusunda stok almaları ve bu bilgileri korumak için makul adımlar atmaları gerektiği mesajını veriyor” dedi. Beyan. “Büyük miktarda bilgiyi e-posta gibi yönetilemez biçimlerde depolamak, eyalet başsavcılarına veya etkilenen bireylere bir ihlal hakkında bildirimde bulunmadaki gecikmeleri mazur göstermez.”

Eyaletin bir sonraki valisi olmaya aday olan Pennsylvania AG Josh Shapiro, söz konusu “Ek gecikmeler, bu kişisel verilerin kötü amaçlarla kullanılma olasılığını artırır.”

46 eyalette, davacılardan bazıları, Carnival’ın e-posta güvenlik uygulamalarının yanı sıra şirketin her eyaletteki ağ ihlali bildirim yasalarına uyup uymadığı konusunda daha derin bir soruşturma başlattı. Soruşturmalar Pennsylvania, Connecticut, Florida ve Washington tarafından yürütüldü ve Alabama, Arizona, Arkansas, Ohio ve Kuzey Carolina tarafından desteklendi. Kalan devletler davaya katıldı.

Çok devletli anlaşmanın bir parçası olarak [PDF]Carnival, e-posta güvenliğini artırmak için, çalışanlar için eğitim gerekliliği, kimlik avına odaklanan alıştırmalar ve kurumsal e-postaya uzaktan erişim için çok faktörlü kimlik doğrulama (MFA) kullanma dahil olmak üzere bir dizi adımı kabul etti.

Diğer gereksinimler, güçlü ve karmaşık parolaların kullanılması, parolaların değiştirilmesi ve güvenli parola depolama sistemlerinin kullanılması dahil olmak üzere parolaları içerir. Bu, Carnival’ın ağındaki olası güvenlik olaylarını günlüğe kaydetmek ve izlemek için gelişmiş davranış analizi araçlarını kullanmaya ve üçüncü taraf güvenlik değerlendirmelerini kullanmaya ek olarak sunulur.

Şirket ayrıca bir ihlal yanıtı ve bildirim planı uygulamalı ve kullanmalıdır.

New York, davada en agresif olanlardan biri oldu. Kendi soruşturması, Carnival’ın eyaletin Mart 2017’de yürürlüğe giren bilgisayar güvenliği yasalarını ihlal ettiğini tespit etti. Bu ihlaller arasında MFA eksikliği, çalışanların kötü siber güvenlik eğitimi ve ilk siber güvenlik fiyaskosunu derhal bildirmemek yer alıyor. Devlet kurumu, tüm bunların bir araya geldiğinde şirketin sistemlerini ve müşteri bilgilerini 2018 ve 2020 yılları arasında siber suçlulara karşı savunmasız bıraktığını söyledi.

Güvenlik olayları sırasında, Costa, Cunard, Holland America, Princess ve Seabourn’un da sahibi olan Carnival, New York’ta sigorta satma lisansına sahipti ve bu da onu DFS’nin güvenlik düzenlemelerine tabi kıldı. Anlaşmanın bir parçası olarak, Carnival New York’taki sigorta satış işini bıraktı.

Kayıt yanıt için Karnaval’a ulaştı, ancak yayınlanma zamanından önce hiçbiri alınmadı. Dedi ki, şirket söylenmiş Reuters kısa bir açıklamada, New York yetkilileriyle işbirliği yaptığını ve veri gizliliğinin ve korunmasının şirket için önemli olduğunu söyledi. Karnaval herhangi bir yanlış yaptığını kabul etmedi. ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/06/28/carnival-cybersecurity-fines/

Yorum yapın