Popüler İK ve Bordro Şirketi Sequoia, Bir Veri İhlalini Açıkladı


İnsan kaynakları, bordro ve yan haklar yönetimi şirketi Sequoia, ayın başında müşterilere yaptığı açıklamalarda, şirketin Sequoia One müşterileriyle ilgili bir dizi hassas ve kişisel veri içeren bir bulut depolama havuzuna yetkisiz erişim tespit ettiğini söyledi.

Sequoia, şirketin 22 Eylül ile 6 Ekim arasında meydana geldiğini söylediği ihlalden hem kurumsal müşterilerini hem de verileri etkilenmiş olabilecek bireysel kişileri bilgilendirdi. Şirket, kurbanlara üç yıl boyunca ücretsiz Experian kimlik koruma hizmetleri sunuyor. Sequoia’nın ihlal edilen bulut sistemi, adlar, adresler, doğum tarihleri, cinsiyet, medeni durum, çalışma durumu, Sosyal Güvenlik numaraları, iş e-posta adresleri, sosyal yardımlarla ilgili ücret verileri ve üye kimlikleri gibi bir dizi hassas kişisel veriyi ve ayrıca herhangi birini depoladı. kişilerin istihdam sistemine yüklediği diğer kimlik kartları, Covid-19 test sonuçları ve aşı kartları.

Şirket, müşteri ve bireysel açıklamalarda “Yetkisiz bir taraf, kişisel bilgileri içeren bir bulut depolama sistemine erişmiş olabilir” yazdı. WIRED, her iki bildirimin örneklerini inceledi. “Şirket durumun farkına varır varmaz, bir müdahale planı başlatıldı ve Dell Secureworks tarafından bir adli tıp incelemesi başlatmak için bir dış avukatla çalışmak da dahil olmak üzere bir dizi acil eylem tamamlandı… Adli inceleme, yetkisiz tarafın kötüye kullanılan veya dağıtılan veriler.”

Sequoia One, dış kaynaklı İK ve bordro hizmetleri sağlayan bir “profesyonel işveren kuruluşu” veya PEO’dur. Şirket, tazminat, yan haklar ve eşitlik gibi temel programları yönetme ve karara bağlama sürecini kolaylaştırdığı için yeni başlayanlar arasında popülerdir. Sequoia One, ABD’deki yeni başlayanlar arasında popülerdir ve diyor şu anda 500’den fazla girişim destekli şirketle çalışıyor.

WIRED, Sequoia’ya kaç kişiye verilerinin ifşa edildiğini ve ücretsiz kimlik koruma hizmetleri sunulduğunu sorduğunda, iletişim şirketi AMF Media Group’un halkla ilişkiler başkan yardımcısı Kristin Schaeffer, şirket adına yorum yapmaktan kaçındı. “Şu anda odak noktamız ve iletişimimiz yalnızca müşterilerimizle” dedi.

Açıklamalar, Dell Secureworks’ün Sequoia’nın sistemlerinde kötü amaçlı yazılım bulmadığını, veri gasp girişimine dair kanıt görmediğini, Sequoia’nın altyapısında güvenliği ihlal edilmiş herhangi bir bilgisayar veya sunucu bulmadığını ve şirketin sistemlerine devam eden yetkisiz erişime dair kanıt görmediğini söylüyor. Sequoia, şu ana kadar verilerin herhangi bir şekilde kullanıldığını veya dağıtıldığını tespit etmediğini vurguluyor.

Şirket, “Bir bulut depolama sistemindeki bilgilere yetkisiz erişim 22 Eylül ile 6 Ekim 2022 arasında gerçekleşti” diye yazdı. “Erişim ‘salt okunur’ idi ve yetkisiz tarafın herhangi bir müşteri verisini değiştirdiğine dair hiçbir kanıt yok.”

Yine de, bilgisayar korsanlarının ve hatta otomatik sistemlerinin güvenli olmayan bulut depolama sistemlerini bulup kazıması yaygındır ve çalınan verilerin ortaya çıkması zaman alabilir.

“Sequoia One, yeni başlayanlar arasında çok popüler; çalıştığım son ikisi onları kullandı,” diyor bu hafta verilerinin ihlalde ele geçirildiği konusunda bilgilendirilen açık kaynak güvenlik araştırmacısı Jonathan Leitschuh. “Dürüst olmak gerekirse, postadaki bildirimi aldığımda şaşırmadım, özellikle Sequoia yüzünden değil, bunun an meselesi olduğunu bilecek kadar uzun süredir güvenlik alanındayım.”

Leitschuh, üç yıl sonra ücretsiz kimlik hırsızlığı izlemesinin sona ereceğini, ancak Sosyal Güvenlik numarasının ve diğer birçok kişisel detayın aynı kalacağını belirtiyor.

“Başkalarının sözleşme yaptığı Sequoia gibi üçüncü taraflarla, son kullanıcı gerçekten vazgeçemez veya işi istiyorlarsa ilişkiyle ilgili hiçbir şeyi değiştiremez” diyor. “Ancak bu şirketlerin bu verileri uzun vadede nasıl savunduğunu bilmiyorsunuz.”



Kaynak : https://www.wired.com/story/sequoia-hr-data-breach/

Yorum yapın