كتبت أمريكان إكسبريس إلى العملاء تحذرهم من أن تفاصيل حساباتهم ربما تكون قد تم اختراقها بعد أن أبلغ طرف ثالث لمختلف التجار عن وصول غير مصرح به إلى أنظمته.
ظهرت التفاصيل بعد إرسال رسالة إلى المنظمين في ولاية ماساتشوستس الأمريكية. وأخبر عملاق بطاقات الائتمان العملاء أنه لم يتم الوصول إلى أنظمته الخاصة وأن الرسالة هي إجراء احترازي.
وفي رسالة إلى العملاء، قالت نائبة الرئيس آنكي كوفيل: “لقد أصبحنا ندرك ذلك مزود خدمة طرف ثالث واجه العديد من التجار الذين شاركوا في الوصول غير المصرح به إلى نظامه.
وأضاف كوفيل: “من المهم ملاحظة أن الأنظمة المملوكة لشركة أمريكان إكسبريس أو التي تسيطر عليها لم تتعرض للخطر بسبب هذا الحادث، ونحن نقدم لك هذا الإشعار كإجراء احترازي”.
أخبرت أمريكان إكسبريس العملاء أن أرقام حسابات البطاقة والأسماء والمعلومات الأخرى بما في ذلك تواريخ انتهاء الصلاحية ربما تكون قد تعرضت للاختراق.
وقالت الشركة إنها تراقب الحسابات بحثًا عن الاحتيال وأخبرت العملاء المتأثرين أنهم لن يكونوا مسؤولين عن “الرسوم الاحتيالية”. ولم تقدم تفاصيل عن عدد العملاء الذين يحتمل أن يتأثروا. وحذرت العملاء من مراجعة حساباتهم بحثًا عن أي نشاط احتيالي محتمل.
صرح أحد خبراء أمن تكنولوجيا المعلومات في قطاع الخدمات المالية في المملكة المتحدة، والذي رغب في عدم الكشف عن هويته، لموقع Computer Weekly بذلك الانتهاكات من خلال أطراف ثالثة هي واحدة من “مخاطر الصناعة المترابطة”.
“هذا شيء يحدث في جميع أنحاء قطاع الخدمات المالية لأنه صناعة مترابطة. إنه نظام بيئي من الشركات المرتبطة التي تنقل الأموال فيما بينها، ويتم مشاركة البيانات. لا يمكن لأي من هذه الشركات العمل بمفردها، فجميعها لديها مقدمو أنظمة مختلفة.
وأضاف الخبير أن المتسللين يستهدفون الحلقات الأضعف في هذا النظام البيئي: “سيفعل ذلك أحد الموردين الخارجيين لديهم موردي الطرف الثالث الخاص بهم. هناك تسلسل هرمي للأشكال، ويبحث المتسللون عن الحلقات الضعيفة، مثل النظام الإداري الذي يقع خلفه بـ 10 خطوات.
“كلما ابتعدنا عن العلامات التجارية الكبيرة، مثل أمريكان إكسبريس، يحاول المتسللون العثور على أنظمة أضعف لدى أطراف ثالثة مترابطة. يمكن أن يكون شيئًا يبدو صغيرًا وغير ضار، لكن يمكن للمتسللين الوصول إلى أنظمة أكثر أهمية بهذه الطريقة.
وجدت الأرقام الأخيرة من منصة الاستخبارات السيبرانية SecurityScorecard ذلك ثلاثة أرباع جميع خروقات الأمن السيبراني المسجلة والتي نشأت من خلال طرف ثالث حدثت بعد كيانات أخرى في الضحية سلسلة توريد البرمجيات والتكنولوجيا تعرضوا للهجوم.
تمثل انتهاكات الطرف الثالث حوالي 29٪ من جميع الانتهاكات المسجلة بواسطة بطاقة الأداء الأمني في عام 2023، تظهر البيانات، على الرغم من النقص الكبير في الإبلاغ عن نواقل الهجوم، فمن المحتمل جدًا أن يكون هذا أقل من العدد الحقيقي.
وقال رايان شيرستوبيتوف، نائب الرئيس الأول لأبحاث التهديدات والاستخبارات في شركة SecurityScorecard: “يعد النظام البيئي للموردين هدفًا مرغوبًا للغاية لمجموعات برامج الفدية”. “غالبًا ما لا يكون ضحايا اختراق الطرف الثالث على علم بالحادث حتى يتلقوا مذكرة طلب فدية، مما يتيح الوقت للمهاجمين للتسلل إلى مئات الشركات دون أن يتم اكتشافهم.”
