700 הפרת אשראי: סיכוני API מעמידים את ניהול שרשרת האספקה ​​הפיננסית תחת זרקור

מה מראה פרצת 700Credit על מערכת הנתונים הפיננסיים וסיכוני שרשרת האספקה, ואילו לקחים ניתן ללמוד?

מאת קייט או'פלאהרטי

בדצמבר, ספק שירותי דוחות אשראי ואימות זהות 700Credit הודה היא סבלה מפריצת נתונים שפגעה ב-5.8 מיליון לקוחות.

השמיים תקרית כללה פגיעה ב-API של צד שלישי המקושר לאפליקציית האינטרנט 700Credit. הפריצה התגלתה באוקטובר 2025, אך התוקפים קיבלו גישה ל-API ביולי, מה שאפשר להם לגנוב מידע רגיש, כולל שמות, תאריכי לידה ומספרי ביטוח לאומי, מבלי להתגלות.

זה היה כישלון של נראות ו ניהול שרשרת האספקה שכל החברות צריכות להיות מודעות להן. מה מראה פרצת 700Credit על מערכת הנתונים הפיננסיים וסיכוני שרשרת האספקה, ואילו לקחים ניתן ללמוד?

ממוקד יישומים

פינטקים, מלווים, סוחרים וחברות אשראי מסתמכים כולם על רשתות אינטגרציה ענקיות, לרוב עם ממשקי API המציעים גישה ישירה למידע רגיש. כאשר צומת אחד ברשת קורס, כולם במורד הזרם יורשים את ההשפעה.

פריצת 700Credit היא דוגמה מצוינת לפגיעות זו בפעולה. עם ממשקי API המאפשרים לתוקפים גישה לנתוני לקוחות, תקרית 700Credit מראה "עד כמה מקושרת המערכת האקולוגית הפיננסית", אומר דן קיטשן, מנכ"ל Razorblue.

למרות שהרשת הפנימית של החברה לא נפגעה, התוקפים עדיין הצליחו לגשת ולחלץ כמויות גדולות של נתוני זהות ברמה פיננסית באמצעות אינטגרציה מהימנה בשכבת היישומים. "זה מדגים שבמערכות אקולוגיות פיננסיות עכשוויות, ממשקי API ויישומי אינטרנט הם למעשה המערכת, ופגיעה בשכבה זו יכולה להיות מזיקה בדיוק כמו חדירה לרשת הליבה", אומר מארק ג'ונסון, ראש אבטחת טרום-מכירות ב-ANS.

רשתות אינטגרציה גדולות מרכזות סיכונים על ידי יצירת נתיבי גישה לנתונים בעלי ערך גבוה שעוקפים בקרות מסורתיות, אומר ג'ונסון. "ממשקי API שנועדו ליעילות וקנה מידה יכולים להפוך לצינורות 'ישרים' למידע רגיש המאפשר זיהוי אישי אם הם מקבלים הרשאות יתר, מנוטרים כראוי או מפולחים כראוי."

במקרה של 700Credit, מבני הממשל לא עמדו בקצב המורכבות של המערכת האקולוגית. זמן השהייה הממושך של התוקפים של 700Credit מצביע על כך שמנגנוני הממשל "לא התפתחו כדי להתאים למורכבות התפעולית של מערכות אקולוגיות מונעות-API", מציין ג'ונסון.

הפרת 700Credit מדגישה נקודה קריטית: 96% מהתקפות API מגיעים ממקורות מאומתים, כלומר התוקפים אינם פורצים. הם משתמשים במקום זאת ב"אישורים לגיטימיים ומהימנים", מוסיף אריק שוואקה, מנהל אסטרטגיית אבטחת סייבר ב-Salt Security.

מאחר שרוב הארגונים ממעיטים בערכם של מלאי ה-API שלהם ב-90%, פגיעויות אלו בשרשרת האספקה ​​עלולות לגרום לכמות של עד פי 10 מכמות הנתונים שדלפו, כפי שנצפה בפריצות מסורתיות, הוא מזהיר.

שרשראות אספקה ​​פיננסיות אטומות

תקרית 700Credit היא רק דוגמה אחת לאופן שבו מערכת הנתונים הפיננסיים הפכה מורכבת מדי, מקושרת ואטומה מדי עבור רמת הממשל המוחלת עליה. לרוב הארגונים אין מפה ברורה של לאן הנתונים שלהם זורמים, כיצד הגישה אליהם, אילו שותפים יכולים לבצע שאילתות עליהם, כיצד הם מאבטחים אותם וכמה מהר הם חושפים תקריות.

"לעסקים "לעיתים רחוקות יש נראות מעבר לספקים המיידיים שלהם, שלא לדבר על הספקים שבהם הספקים משתמשים", אומרים ב-Razorblue's Kitchen.

מורכבותן של שרשראות אלו עקפה כעת את מבני הממשל המסורתיים, מה שהותיר ארגונים חשופים לכשלים של צד שלישי ואפילו של צד רביעי, כגון לשכת אשראי המשתמשת בממשק API המסתמך על ספק ענן או שירות העשרת נתונים עם פגיעויות משלה, הוא אומר.

אחת החולשות המרכזיות בניהול שרשרת אספקה ​​של צד שלישי היא היעדר נראות ובקרה מקיפים על מצבי האבטחה של הספקים, מסכימה טרייסי האנן-ג'ונס, מנהלת ייעוץ אבטחת מידע ב-UBDS Digital. "ארגונים רבים מסתמכים על ספקים חיצוניים עבור שירותים חיוניים, אך לעתים קרובות נכשלים בביצוע הערכות סיכונים קפדניות ומתמשכות או באכיפת בקרות אבטחה סטנדרטיות ברחבי שרשרת האספקה. זה יוצר נקודות עיוורות שבהן פגיעויות יכולות להיות מוצגות ולנצלן בקלות רבה מדי."

חולשה משמעותית נוספת היא היעדר דרישות חוזיות וטכניות חזקות לספקי צד שלישי, אומרת האנן-ג'ונס. "לארגונים חסרים לעתים קרובות הסכמים ברורים וניתנים לאכיפה המחייבים סטנדרטים של אבטחה, פרוטוקולי תגובה לאירועים וביקורות תקופתיות. גם כאשר דרישות כאלה אכן קיימות, אכיפה וניטור יכולים להיות לא עקביים, במיוחד ככל שמספר הספקים גדל."

מה שמוסיף לבעיה, צוותי אבטחת סייבר בדרך כלל לא מקדישים מספיק זמן או מומחיות לסיכונים של צד שלישי. התחום נתפס לעתים קרובות כ"מייגע וחוזר על עצמו", אומר פייר נואל, CISO שטח ב-Expel. "קשה מאוד לגייס מומחי אבטחת סייבר מנוסים ולשכנע אותם לבצע הערכה של צד שלישי בכל שבוע, חודש או שנה."

נואל מציין כי חברות לעיתים קרובות לא מצליחות לקחת בחשבון את המציאות שבה סיכוני צד שלישי מתפתחים. "הקשר שיש לכם עם 'חברה א' עשוי להתחיל בקטן ולהתפתח באופן משמעותי שנה או שנתיים לאחר מכן. אלא אם כן התוכנית שלכם תתאים להתרחבות דינמית זו, צד שלישי משמעותי ובעל סיכון גבוה עלול לחמוק מעיניו עד שיהיה מאוחר מדי."

תגובה רגולטורית

לתקרית 700Credit הייתה השפעה משמעותית השפעה רגולטורית, כאשר החברה שלחה הודעות על הפרה למספר משרדי תובעים כלליים במדינות, כולל מיין. החברה הגישה דוח מאוחד לוועדת הסחר הפדרלית בתיאום עם איגוד סוחרי הרכב הלאומי והאירוע דווח גם ל-FBI.

התגובה הרגולטורית הנדרשת לאחר אירוע מסוג זה מראה כי מחוקקים רואים יותר ויותר כשלים של צד שלישי כסיכון מערכתי. בסך הכל, עסקים "לא צריכים להיות אופטימיים יתר על המידה לגבי תגובת הרגולטורים לסוג זה של בעיה", אומר נואל מ-Expel. הם בדרך כלל ימליצו, "ודאו שיש לכם תהליך ניהול צד שלישי הולם, והיו מוכנים להוכיח זאת בכל ביקורת פנימית או חיצונית", הוא אומר.

עם זאת, סביר להניח שהרגולטור לא יטיל תהליך שיפנה למספר רב של צדדים שלישיים, או ילך מעבר לוודא שהארגון מקבל את תעודת ISO או SOC 2 מהקבלן, אומר נואל. "זו הסיבה שעסקים צריכים להכיר בפער ולנקוט בצעד הראשון ליישום תוכנית ניהול סיכונים שעולה על דרישות הציות הבסיסיות הללו."

השמיים חוק חוסן הפעילות הדיגיטלית "(DORA), שנכנסה לתוקף באיחוד האירופי, מטפלת ישירות בסיכוני שרשרת האספקה ​​על ידי הטלת דרישות מחמירות על גופים פיננסיים ועל שותפיהם הקריטיים בשרשרת האספקה ​​של IT", אומרת האנן-ג'ונס מ-UBDS Digital.מנדטים של DORA שארגונים יישמו מסגרות מקיפות לניהול סיכונים עבור יחסים עם צדדים שלישיים, כולל בדיקת נאותות, סעיפים חוזיים המבטיחים אבטחת נתונים, ניטור מתמשך ויכולת לסיים חוזים אם ספקים אינם עומדים בתקני חוסן. נדרשות גם בדיקות סדירות, דיווח על אירועים ואחריות ברורה על פונקציות במיקור חוץ.

מבני ממשל

כאשר תוקפים מסוגלים לגשת לנתונים דרך ממשק API, פרצת 700Credit חשפה את העובדה שבמקרים רבים, מבני הממשל לא עמדו בקצב המורכבות של המערכת האקולוגית. שאלונים שנתיים של ספקים ותהליכי בדיקת נאותות מדור קודם פשוט לא עובדים כאשר תוקפים יכולים לשלוף בשקט מיליוני רשומות דרך ממשק API מבלי להתגלות.

כדי למנוע הפרה מסוג זה, הממשל חייב לכלול ניטור מתמשך, שקיפות בשרשרת האספקה, מיפוי התחייבויות וממשל מותאם לתקן ISO כגון ISO 27001 ו ISO 27701.

אבל אלה לא רק תיבות סימון. עסקים צריכים "לעבור מעבר לתאימות סטטית" ו"לאמץ פיקוח מתמשך", אומר Razorblue's Kitchen. משמעות הדבר היא "ניטור תעבורת ה-API בזמן אמת, לא רק במהלך ביקורות שנתיות".

במקביל, הוא מייעץ, על חברות לדרוש שקיפות מספקיהן, מיפוי התחייבויות והבנה של מי עוד נמצא בשרשרת.

דיאן דאוני, ארכיטקטית תוכנה בכירה ב-Black Duck, ממליצה לארגונים לנקוט בגישה של אבטחה של אפס אמון, במיוחד עם נקודות גישה למידע רגיש. "הערכת סיכונים של ארכיטקטורות מערכת חייבת לשקול פעולות הפחתה כנגד מערכת פרוצה, כולל אלו של שותפיה המהימנים."

ארגונים פיננסיים אינם יכולים עוד להסתמך על יחסי ספקים מבוססי אמון או תהליכי גילוי איטיים. עליהם להיות שקופים יותר באופן מהותי, ולנקוט בגישה מונחית סטנדרטים לניהול מערכת האקולוגית של הנתונים שלהם.

היתרונות של גישה זו ברורים. העלות האמיתית של הפרות חורגת הרבה מעבר לעונשים רגולטוריים, ויוצרת סיכון משמעותי לשיתוק תפעולי ונזק תדמיתי, אומר קיצ'ן. "ברמה המאקרו, אירועים כאלה יכולים לגרום לירידות חדות במחיר המניות, לפגוע באמון המשקיעים וליצור עצבנות בשווקים - במיוחד עבור חברות ציבוריות במגזרים רגישים כמו פיננסים."