700Credit, sebuah perusahaan jasa keuangan dan fintech yang berbasis di AS, akan mulai memberi tahu lebih dari 5,8 juta orang bahwa informasi pribadi mereka telah terungkap dalam insiden pelanggaran data.
Serangan siber terjadi setelah pelaku ancaman melanggar salah satu mitra integrasi 700Credit pada bulan Juli dan menemukan API untuk memperoleh informasi pelanggan. Namun, mitra tersebut tidak memberi tahu 700Credit tentang kompromi tersebut.
700Credit melihat aktivitas mencurigakan pada sistemnya pada tanggal 25 Oktober dan meluncurkan penyelidikan, dengan bantuan dari spesialis forensik komputer pihak ketiga.
“Penyelidikan menetapkan bahwa catatan tertentu dalam aplikasi web yang berkaitan dengan pelanggan dari klien dealernya disalin tanpa izin,” kata 700Credit dalam pernyataannya. pemberitahuan kepada individu yang terkena dampak.
Menurut Direktur Pelaksana 700Credit Bukit Kenpenyerang berhasil mencuri sekitar 20% data konsumen dari Mei hingga Oktober sebelum perusahaan menghentikan API yang terekspos.
Pelaku ancaman dapat mengambil data karena kerentanan keamanan di API, kegagalan memvalidasi ID referensi konsumen terhadap pemohon asli.
Tipe data yang telah diekspos antara lain:
- Nama lengkap
- Alamat fisik
- Tanggal lahir
- Nomor Jaminan Sosial (SSN)
700Credit adalah salah satu penyedia pelaporan kredit, verifikasi identitas, dan layanan penipuan dan kepatuhan terbesar untuk dealer otomotif di seluruh Amerika Serikat. Menurut perusahaan, mereka menyediakan laporan kredit dan solusi soft pull kepada lebih dari 23,000 pelanggan dealer otomotif, RV, Powersports, dan Marine.
Perlu dicatat bahwa perusahaan tersebut mengajukan pemberitahuan pelanggaran kepada Komisi Perdagangan Federal (FTC) atas nama perusahaan dan pemberitahuan konsolidasi atas nama semua klien dealer yang terkena dampak.
Pelanggan 700Credit yang terkena dampak pelanggaran tidak perlu lagi mengajukan pemberitahuan ke FTC atau Kantor Kejaksaan Agung negara bagian, karena perusahaan juga akan melakukannya atas nama mereka.
700Credit juga memberi tahu Asosiasi Dealer Mobil Nasional (TIDAK ADA) tentang kejadian tersebut untuk meningkatkan kesadaran.
A halaman khusus di situs web perusahaan memberikan rincian umum tentang pelanggaran data dan jenis informasi yang terkena dampak.
Untuk membantu individu yang terkena dampak mengurangi risiko, 700Credit menawarkan layanan perlindungan identitas dan pemantauan kredit gratis selama 12 bulan melalui TransUnion, dengan periode pendaftaran 90 hari.
Penerima pemberitahuan pelanggaran data disarankan untuk memantau akun mereka dengan cermat dan mempertimbangkan untuk membekukan keamanan.
Pada saat artikel ini ditulis, tidak ada kelompok ransomware yang mengklaim serangan tersebut. BleepingComputer telah menghubungi 700Credit untuk mempelajari lebih lanjut tentang insiden tersebut, namun komentar tidak segera tersedia.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
