Amex gizlilik sorumlusu Anneke Covell, geçen ayın sonunda müşterilere gönderdiği bir mektupta “Çok sayıda tüccar tarafından kullanılan bir üçüncü taraf hizmet sağlayıcısının sistemine yetkisiz erişim yaşandığını fark ettik” dedi ve ekledi: “Mevcut veya daha önce verilmiş American Express kart hesap numaranız, adınız ve son kullanma tarihi gibi diğer kart bilgileriniz ele geçirilmiş olabilir. American Express’in sahip olduğu veya kontrol ettiği sistemlerin bu olay nedeniyle tehlikeye girmediğini belirtmek önemlidir.”
ABD’nin Massachusetts eyaleti, gizlilik ihlallerinin kamuoyuna duyurulmasına ilişkin kurallarının bir parçası olarak bu sızıntıyı kamuoyuna açıkladı. American Express’in (Amex) Massachusetts’in veri sızıntısı raporlarında bu yıl şimdiye kadar toplam 16 kez yer aldığını ve diğer olayların çoğunlukla yalnızca birkaç (tek haneli) Massachusetts eyaleti sakinini kapsadığı görülüyor. Sızıntının yaygınlığı ve diğer eyaletleri (ve/veya diğer ülkelerdeki Amex kullanıcılarını) etkileyip etkilemediği bilinmiyor.
Amex sözcüleri söz konusu veri kaybının “American Express’te ya da American Express’in bir hizmet sağlayıcısında meydana gelen bir veri ihlalinden kaynaklanmadığını” vurgulamakla yetiniyor. Örneğin, vakalardan ikisinde, “olayların tüccar işlemcilerindeki satış noktası saldırılarından kaynaklandığı ve American Express’in tarafındaki herhangi bir hatayla ilgili olmadığı” söylendi.
Finans devi, şimdilik sadece endişeli Amex müşterileri için mektuplarında müşterilerin hileli ücretlerden sorumlu olmadıklarına dair güvence vermekle yetiniyor. Amex, müşterilerin ekstrelerini düzenli olarak incelemelerini ve şüpheli ücretleri metin, e-posta veya mobil uygulama aracılığıyla kullanıcılara bildiren hesap uyarılarına kaydolmalarını öneriyor.
Bununla birlikte güvenlik uzmanları son dönemde veri ihlali bildirimlerinin artığına ve saldırı vektörlerinin çeşitlendiğine vurgu yapıyorlar. Finans sektörüne yönelik siber saldırılarda da artış gözlemlenirken örneğin dünyanın en büyük ticari bankalarından Industrial & Commercial Bank of China (ICBC) sistemlerini etkileyen bir fidye yazılım saldırısı nedeniyle hizmetlerinde kesinti yaşamıştı.
Siber güvenlik uzmanları, finans sektörüne yönelik veri hırsızlığı saldırılarının zaman zaman doğrudan kredi kartı ve müşteri bilgisi çalmak ve kara borsada satmak odaklı olduğunu ancak son dönemde çoğunlukla ilgili kurum ve kuruluşlardan fidye istemek amacıyla gerçekleştiğini bildiriyorlar.
