700 Kredietbreuk: API-risiko's plaas finansiële voorsieningskettingbestuur onder die kollig

Wat wys die 700Credit-oortreding oor die finansiële datastelsel en voorsieningskettingrisiko's, en watter lesse kan geleer word?

Deur Kate O'Flaherty

In Desember, kredietverslag- en identiteitsverifikasiediensverskaffer 700Credit toegelaat dit het 'n datalek gely wat 5.8 miljoen kliënte geraak het.

Die voorval het 'n gekompromitteerde derdeparty-API behels wat gekoppel is aan die 700Credit-webtoepassing. Die oortreding is in Oktober 2025 ontdek, maar aanvallers het in Julie toegang tot die API verkry, wat hulle toegelaat het om sensitiewe data, insluitend name, geboortedatums en sosiale sekerheidsnommers, te steel sonder om opgespoor te word.

Dit was 'n mislukking van sigbaarheid en voorsieningskettingbestuur waarvan alle firmas bewus moet wees. Wat wys die 700Credit-oortreding oor die finansiële datastelsel en voorsieningskettingrisiko's, en watter lesse kan geleer word?

Toepassing-gesentreerd

Fintech-maatskappye, leners, handelaars en kredietburo's maak almal staat op enorme integrasienetwerke, dikwels met API's wat direkte toegang tot sensitiewe data bied. Wanneer een nodus in die netwerk afgaan, erf almal stroomaf die impak.

Die 700Credit-oortreding is 'n uitstekende voorbeeld van hierdie kwesbaarheid in aksie. Met API's wat aanvallers toegang tot kliëntdata gee, wys die 700Credit-voorval "hoe onderling verbind die finansiële ekosisteem geword het", sê Dan Kitchen, uitvoerende hoof van Razorblue.

Alhoewel die maatskappy se interne netwerk nie gekompromitteer is nie, kon aanvallers steeds toegang tot groot hoeveelhede finansiële-graad identiteitsdata verkry en dit onttrek via 'n vertroude toepassingslaagintegrasie. “Dit demonstreer dat API's en webtoepassings in hedendaagse finansiële ekosisteme effektief die stelsel is, en kompromie op hierdie laag kan net so skadelik wees as 'n kernnetwerk-inbraak,” sê Mark Johnson, hoof van voorverkope-sekuriteit by ANS.

Groot integrasienetwerke konsentreer risiko deur hoëwaarde-datatoegangspaaie te skep wat tradisionele beheermaatreëls omseil, sê Johnson. “API's wat ontwerp is vir doeltreffendheid en skaal kan 'reguit deurgange' word na sensitiewe persoonlik identifiseerbare inligting as dit te veel bevoorreg word, onvoldoende gemonitor word of onvoldoende gesegmenteer word.”

In die geval van 700Credit het bestuursstrukture nie tred gehou met die kompleksiteit van die ekosisteem nie. 700Credit se aanvallers se lang verblyftyd dui daarop dat bestuursmeganismes “nie ontwikkel het om by die operasionele kompleksiteit van API-gedrewe ekosisteme te pas nie”, merk Johnson op.

Die 700Credit-oortreding beklemtoon 'n belangrike punt: 96% van API-aanvalle kom van geverifieerde bronne, wat beteken dat aanvallers nie inbreek nie. Hulle gebruik eerder "wettige, vertroude geloofsbriewe", voeg Eric Schwake, direkteur van kuberveiligheidsstrategie by Salt Security, by.

Aangesien die meeste organisasies hul API-voorraad met 90% onderskat, kan hierdie kwesbaarhede in die voorsieningsketting tot soveel as 10 keer die hoeveelheid uitgelekde data lei wat in tradisionele oortredings gesien word, waarsku hy.

Ondeursigtige Finansiële Voorsieningskettings

Die 700Credit-insident is slegs een voorbeeld van hoe die finansiële datastelsel te kompleks, onderling gekoppel en ondeursigtig geword het vir die vlak van bestuur wat daarop toegepas word. Die meeste organisasies het geen duidelike kaart van waar hul data vloei, hoe dit verkry word, watter vennote dit kan navraag doen, hoe hulle dit beveilig en hoe vinnig hulle voorvalle openbaar nie.

Besighede “het selde sigbaarheid buite hul onmiddellike verskaffers, wat nog te sê van die verskaffers wat hul verskaffers gebruik”, sê Razorblue's Kitchen.

Die kompleksiteit van hierdie kettings het nou tradisionele bestuursstrukture oortref, wat organisasies blootgestel laat aan derdeparty- en selfs vierdeparty-mislukkings, soos 'n kredietburo wat 'n API gebruik wat staatmaak op 'n wolkverskaffer of dataverrykingsdiens met sy eie kwesbaarhede, sê hy.

Een van die kern swakpunte in derdeparty-voorsieningskettingbestuur is die gebrek aan omvattende sigbaarheid en beheer oor verskaffers se sekuriteitsposisies, stem Tracey Hannan-Jones, inligtingsekuriteitskonsultantdirekteur van UBDS Digital, saam. “Baie organisasies maak staat op eksterne verskaffers vir noodsaaklike dienste, maar slaag dikwels nie daarin om streng, deurlopende risikobepalings uit te voer of gestandaardiseerde sekuriteitsbeheermaatreëls regoor die voorsieningsketting af te dwing nie. Dit skep blinde kolle waar kwesbaarhede te maklik ingebring en uitgebuit kan word.”

Nog 'n beduidende swakpunt is die afwesigheid van robuuste kontraktuele en tegniese vereistes vir derdeparty-verskaffers, sê Hannan-Jones. “Organisasies het dikwels nie duidelike, afdwingbare ooreenkomste wat sekuriteitsstandaarde, voorvalreaksieprotokolle en gereelde oudits voorskryf nie. Selfs wanneer sulke vereistes wel bestaan, kan afdwinging en monitering teenstrydig wees, veral namate die aantal verskaffers groei.”

Om die probleem verder te vererger, wy kuberveiligheidspanne gewoonlik nie genoeg tyd of kundigheid aan hul derdeparty-risiko's nie. Die gebied word dikwels as "vervelig en herhalend" beskou, sê Pierre Noel, veld-CISO by Expel. "Dit is uiters moeilik om ervare kuberveiligheidspesialiste te werf en hulle te oortuig om elke week, maand of jaar 'n derdeparty-assessering uit te voer."

Firmas versuim dikwels om die werklikheid in ag te neem dat derdeparty-risiko's ontwikkel, wys Noel daarop. “Die verhouding wat jy met 'maatskappy A' het, kan klein begin en 'n jaar of twee later aansienlik ontwikkel. Tensy jou program hierdie dinamiese uitbreiding akkommodeer, kan 'n beduidende en hoërisiko-derde party ongemerk bly totdat dit te laat is.”

Regulerende reaksie

Die 700Credit-insident het 'n beduidende regulatoriese impak, met die firma wat kennisgewings van oortredings aan verskeie kantore van die staatsadvokaat-generaal gestuur het, insluitend Maine. Die firma het 'n gekonsolideerde verslag by die Federale Handelskommissie ingedien in samewerking met die Nasionale Motorhandelaarsvereniging en die voorval is ook by die FBI aangemeld.

Die regulatoriese reaksie wat na hierdie tipe voorval vereis word, toon dat wetgewers toenemend derdeparty-mislukkings as sistemiese risiko beskou. Oor die algemeen moet besighede “nie te optimisties wees oor die reaksie van die reguleerders op hierdie tipe probleem nie”, sê Expel se Noel. Hulle sal oor die algemeen adviseer: “Maak seker dat jy 'n voldoende derdeparty-bestuursproses het, en wees gereed om dit by elke interne of eksterne oudit te bewys”, sê hy.

Dit is egter onwaarskynlik dat die reguleerder 'n proses sal oplê wat 'n groot aantal derde partye sal bevredig, of verder sal gaan as om net seker te maak dat die organisasie die ISO- of SOC 2-sertifikaat van die kontrakteur verkry, sê Noel. “Daarom moet besighede die teenstrydigheid erken en die eerste stap neem om 'n risikobestuursprogram te implementeer wat hierdie fundamentele voldoeningsvereistes oortref.”

Die Wet op Veerkragtigheid in Digitale Bedrywighede (DORA), wat in die EU in werking getree het, spreek voorsieningskettingrisiko's direk aan deur streng vereistes aan finansiële entiteite en hul kritieke IT-voorsieningskettingvennote te stel, sê UBDS Digital se Hannan-Jones.DORA-mandate dat organisasies omvattende risikobestuursraamwerke vir derdeparty-verhoudings implementeer, insluitend behoorlike sorgvuldigheid, kontraktuele klousules wat datasekuriteit verseker, deurlopende monitering en die vermoë om kontrakte te beëindig indien verskaffers nie aan veerkragtigheidstandaarde voldoen nie. Gereelde toetsing, voorvalrapportering en duidelike aanspreeklikheid vir uitkontrakteringsfunksies word ook vereis.”

Bestuurstrukture

Met aanvallers wat toegang tot data via 'n API kan verkry, het die 700Credit-oortreding die feit blootgelê dat bestuursstrukture in baie gevalle nie tred gehou het met die kompleksiteit van die ekosisteem nie. Jaarlikse verskaffervraelyste en ou due diligence-prosesse werk eenvoudig nie wanneer aanvallers stilweg miljoene rekords deur 'n API kan trek sonder om opgespoor te word nie.

Om te verhoed dat hierdie tipe oortreding plaasvind, moet bestuur deurlopende monitering, deursigtigheid van die voorsieningsketting, verpligtingskartering en ISO-belynde bestuur insluit, soos ISO 27001 en ISO 27701.

Maar dit is nie net merkblokkies nie. Besighede moet “verder as statiese voldoening beweeg” en “deurlopende toesig omhels”, sê Razorblue's Kitchen. Dit beteken “die monitering van API-verkeer intyds, nie net tydens jaarlikse oudits nie”.

Terselfdertyd moet firmas deursigtigheid van hul verskaffers eis, verpligtinge karteer en verstaan ​​wie anders in die ketting is, adviseer hy.

Diane Downie, senior sagteware-argitek by Black Duck, beveel aan dat organisasies 'n nul-vertroue sekuriteitshouding inneem, veral met toegangspunte tot sensitiewe inligting. “Risikobeoordelings van stelselargitekture moet mitigasie teen 'n gekompromitteerde stelsel in ag neem, insluitend dié van hul vertroude vennote.”

Finansiële organisasies kan nie meer staatmaak op vertrouensgebaseerde verskaffersverhoudings of stadige openbaarmakingsprosesse nie. Hulle moet fundamenteel meer deursigtig wees en 'n standaardgedrewe benadering tot die bestuur van hul data-ekosisteem volg.

Die voordele van hierdie benadering is duidelik. Die werklike koste van oortredings strek veel verder as regulatoriese boetes, wat 'n aansienlike risiko vir operasionele verlamming en reputasieskade skep, sê Kitchen. “Op 'n makro-vlak kan voorvalle soos hierdie skerp dalings in aandeelpryse veroorsaak, beleggersvertroue ondermyn en senuweeagtigheid in die markte skep – veral vir publiek verhandelde firmas in sensitiewe sektore soos finansies.”