ABŞ Bankı Müştəri Məlumatlarını Süni İntellektə Sızdırdı
ABŞ-da yerləşən böyük bir bank, əməkdaşların icazəsiz süni intellekt tətbiqindən istifadə etməsi nəticəsində müştəri məlumatlarının sızdırıldığını özü bildirib. Hadisə daxili məlumat təhlükəsizliyi siyasətinin əhəmiyyətini bir daha gündəmə gətirib.
Hadisənin Xülasəsi
Maliyyə dünyası ABŞ-ın aparıcı banklarından birinin etdiyi şəffaf bir açıqlama ilə sarsıldı. Bank, tənzimləyici qurumlara və ictimaiyyətə verdiyi məlumatda, həssas müştəri məlumatlarının bir əməkdaş tərəfindən "icazəsiz bir süni intellekt tətbiqinə" sızdırıldığını rəsmən bildirdi. Bu hadisə, xarici kiberhücumdan daha çox, daxili bir səhlənkarlıq və müasir texnologiyaların şüursuz istifadəsindən qaynaqlanan bir məlumat pozuntusu olması səbəbindən diqqət çəkir. Bankın bu vəziyyəti özünün müəyyən edib bildirməsi proaktiv bir yanaşma kimi qiymətləndirilsə də, hadisənin özü korporativ məlumat təhlükəsizliyi və işçi təlimi mövzularında ciddi suallar doğurur.
Əldə edilən məlumatlara görə, bank işçilərindən birinin gündəlik iş axınını sürətləndirmək və ya məhsuldarlığı artırmaq məqsədilə bankın təsdiqləmədiyi ictimaiyyətə açıq bir süni intellekt platformasından istifadə etdiyi müəyyən edilib. Bu platformaya müştəri adları, hesab çıxarışları, əlaqə məlumatları və potensial olaraq maliyyə əməliyyatlarının təfərrüatlarını ehtiva edən məlumatların köçürülüb yapışdırıldığı aydın olub. Bu hərəkət, məlumatların bankın təhlükəsiz infrastrukturundan çıxaraq üçüncü bir tərəfin serverlərinə, yəni süni intellekt xidmət təminatçısının nəzarətinə keçməsinə səbəb olub. Hadisə bankın daxili audit sistemləri tərəfindən aşkarlanıb və dərhal müdaxilə edilib.
Sızdırılan Məlumatlar və Miqyası
Bank tərəfindən verilən ilkin açıqlamada sızıntının miqyası və təsirlənən müştəri sayı haqqında dəqiq rəqəmlər verilməsə də, hadisənin ciddiliyi vurğulandı. Sızdırılan məlumatların müştərilərin şəxsi və maliyyə məxfiliyini təhlükəyə ata biləcək xarakterdə olduğu bildirildi. Potensial olaraq sızdırılan məlumat növləri bunlardır:
E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.
İndi Yoxla →- Şəxsiyyəti Müəyyən Edən Məlumatlar (PII): Müştərilərin tam adları, ünvanları, telefon nömrələri və e-poçt ünvanları.
- Maliyyə Məlumatları: Hesab nömrələrinin bir hissəsi, əməliyyat xülasələri, balans məlumatları və kredit müraciəti detalları kimi həssas maliyyə məlumatları.
- Əlaqə Qeydləri: Müştəri xidmətləri ilə aparılan danışıqların mətnləri və ya xülasələri.
Bu cür məlumatların üçüncü tərəf bir süni intellekt modelinə yüklənməsi bir neçə mühüm risk daşıyır. Birincisi, bu məlumatlar süni intellekt modelini öyrətmək üçün istifadə edilə bilər və gələcək cavablarda fərqində olmadan ortaya çıxa bilər. İkincisi, süni intellekt xidmətini təqdim edən şirkətin məlumat təhlükəsizliyi siyasəti bankınkı qədər sərt olmaya bilər və bu, məlumatları ikinci bir sızıntı riskinə məruz qoyur. Bank, təsirlənən müştəriləri birbaşa məlumatlandırma prosesinə başladığını və lazımi dəstək xidmətlərini təqdim edəcəyini açıqlayıb.
Hücumun Texniki Tərəfi
Bu hadisə ənənəvi kiberhücumlardan fərqli bir quruluşa malikdir. Burada bir hakerin sistemə soxulması və ya zərərli proqram təminatının məlumatları oğurlaması söz mövzusu deyil. Pozuntu, "Kölgə İT" (Shadow IT) olaraq da bilinən bir konsepsiyanın təhlükəli bir nəticəsidir. Kölgə İT, işçilərin təşkilatın məlumatı və ya təsdiqi olmadan öz texnoloji həllərindən (proqram təminatı, tətbiq, xidmət) istifadə etməsini ifadə edir. Bu vəziyyətdə, işçi məhsuldarlığı artırmaq məqsədilə təhlükəsizlik protokollarını ötərək icazəsiz bir süni intellekt alətindən istifadə edib.
Texniki olaraq proses bu şəkildə baş verib: İşçi bankın təhlükəsiz sistemlərində olan müştəri məlumatlarını kopyalayıb və bu məlumatları internet brauzeri vasitəsilə əldə edilən bir süni intellekt söhbət botuna və ya mətn redaktə alətinə yapışdırıb. Bu əməliyyatla birlikdə məlumatlar işçinin kompüterindən çıxıb şifrəli bir bağlantı (HTTPS) üzərindən süni intellekt şirkətinin serverlərinə ötürülüb. Məlumat bir dəfə bu serverlərə çatdıqda, bankın nəzarəti tamamilə aradan qalxıb. Bu cür ictimaiyyətə açıq süni intellekt platformalarının əksəriyyəti, istifadəçi tərəfindən daxil edilən məlumatları xidmətlərini yaxşılaşdırmaq və modellərini öyrətmək üçün istifadə etmək hüququnu xidmət şərtlərində saxlayır. Bu da müştəri məlumatlarının daimi olaraq bu sistemlərin bir hissəsinə çevrilməsi riskini yaradır.
Kimlər Təsirlənib?
Bank, məlumat sızıntısından təsirlənən müştərilərin kimlər olduğu barədə ətraflı seqmentasiya məlumatı paylaşmayıb. Ancaq sızıntını həyata keçirən işçinin vəzifə təlimatı və giriş icazələri nəzərə alındıqda, müəyyən bir departamentin və ya filialın portfelindəki müştərilərin təsirlənmiş olması ehtimalı yüksəkdir. Məsələn, bir müştəri münasibətləri meneceri və ya bir məlumat analitiki tərəfindən həyata keçirilən bu hərəkət, birbaşa bu şəxsin məsul olduğu müştəri qrupunu risk altına ata bilər.
Bank, təsirlənən bütün müştərilərlə e-poçt, məktub və ya mobil bankçılıq tətbiqi vasitəsilə birbaşa əlaqə saxlayacağını öhdəsinə götürüb. Əgər bankdan rəsmi bir bildiriş almamısınızsa, məlumatlarınızın bu hadisədən təsirlənməmiş olma ehtimalı yüksəkdir. Yenə də bütün müştərilərə ehtiyatlı olmaq və hesab hərəkətlərini yaxından izləmək tövsiyə olunur.
Nə Etməlisiniz?
Məlumatlarınızın bu sızıntıdan təsirlənib-təsirlənməməsindən asılı olmayaraq, bütün bank müştərilərinin aşağıdakı tədbirləri görməsi şiddətlə tövsiyə olunur:
- Hesablarınızı İzləyin: Bank və kredit kartı hesab çıxarışlarınızı mütəmadi olaraq yoxlayın. Tanımadığınız və ya şübhəli hesab etdiyiniz hər hansı bir əməliyyatı dərhal bankınıza bildirin.
- Fişinq Hücumlarına Qarşı Diqqətli Olun: Dələduzlar bu cür sızıntı xəbərlərindən istifadə edərək saxta e-poçtlar və ya SMS-lər göndərə bilərlər. Bankınızdan gəldiyini iddia edən, ancaq şəxsi məlumatlarınızı və ya şifrənizi istəyən mesajlara heç vaxt etibar etməyin.
- Şifrələrinizi Gücləndirin: İnternet bankçılıq şifrənizi daha əvvəl başqa bir platformada istifadə etmədiyiniz, güclü və mürəkkəb bir şifrə ilə dəyişdirin.
- İki Faktorlu Doğrulamayı (2FA) Aktivləşdirin: Hələ etməmisinizsə, bank hesabınız üçün iki faktorlu doğrulamayı mütləq aktivləşdirin. Bu, şifrəniz ələ keçirilsə belə, hesabınıza icazəsiz girişi əngəlləyən əlavə bir təhlükəsizlik qatıdır.
- Kredit Hesabatlarınızı Yoxlayın: Adınıza icazəsiz bir kredit hesabının açılıb-açılmadığını görmək üçün kredit hesabatlarınızı mütəmadi olaraq yoxlamağı düşünə bilərsiniz.
Şirkətin Açıqlaması
Bank rəhbərliyi tərəfindən verilən rəsmi açıqlamada, hadisənin aşkarlanmasından dərhal sonra hərtərəfli bir araşdırma başladıldığı bildirildi. Açıqlamada, "Müştərilərimizin etimadı bizim üçün ən yüksək prioritetdir. Bu hadisənin yaratdığı narahatlığa görə dərin təəssüf hissi keçiririk. Məsuliyyət daşıyan əməkdaşın hərəkəti, sərt məlumat təhlükəsizliyi siyasətimizin açıq bir şəkildə pozulmasıdır. Təsirlənən müştərilərimizi qorumaq və hadisənin təkrarlanmasının qarşısını almaq üçün bütün zəruri addımları atırıq. Təsirlənən müştərilərimizə pulsuz kredit izləmə və şəxsiyyət oğurluğundan qorunma xidmətləri kimi dəstəkləyici tədbirlər təqdim edəcəyik." ifadələrinə yer verildi. Bank həmçinin, süni intellekt alətlərinin korporativ istifadəsinə dair siyasətlərini yenidən nəzərdən keçirdiyini və işçi təlimlərini sərtləşdirəcəyini də əlavə etdi.