ABD’li fintech şirketi Prosper Marketplace’in sistemlerinde 1 Eylül 2025’te yetkisiz etkinlik tespit edildi. Araştırmada, saldırganların Haziran-Ağustos 2025 arasında 13,1 milyon kişinin verilerine eriştiği belirlendi. Michigan merkezli 700Credit’te ise 25 Ekim 2025’te benzer bir ihlal yaşandı ve 5,8 milyondan fazla bireyin bilgileri kopyalandı.
Prosper Marketplace tarafından yapılan açıklamada, 1 Eylül 2025’te sistemlerde yetkisiz bir etkinlik gözlendiği kaydedildi. Şirket yetkilileri, etkinliği hızla durdurmak ve güvenlik önlemlerini güçlendirmek üzere harekete geçtiklerini, önde gelen bir siber güvenlik firmasıyla soruşturma başlattıklarını belirtti. Saldırganların müşteri hesaplarına veya fonlarına erişim izine rastlanmadığı vurgulandı. Ancak, isimler, Sosyal Güvenlik Numaraları, ulusal kimlik numaraları, doğum tarihleri, banka hesap numaraları, Prosper hesap numaraları, finansal başvuru detayları, ehliyet numaraları, pasaportlar, vergi bilgileri ve ödeme kartı numaraları gibi hassas veriler ele geçirildi.
Regülatör dosyalamalarda eyalet bazında etki boyutları ortaya kondu. Teksas’ta 1,1 milyondan fazla, Güney Carolina’da 236 bin, Washington eyaletinde ise 249 bin kişi etkilendi. Prosper, etkilenen bireylere Experian aracılığıyla iki yıl süreli kredi izleme ve kimlik restorasyon hizmetleri sunmaya başlandı. Kolluk kuvvetlerine haber verildiği ve ek güvenlik kontrolleri devreye alındığı aktarıldı.
2005 yılında kurulan Prosper Marketplace, akranlara kredi platformuyla tanınıyor. 2 milyondan fazla müşteri, kişisel kredilerde 28 milyar dolardan fazla borçlandı. Şirket ayrıca ev teminatlı krediler, kredi hatları ve kredi kartı ürünleri sunuyor.
700Credit’in ihlalinde, IT ekibi 25 Ekim 2025’te sistemlere yetkisiz erişimi fark etti. ABD genelindeki otomobil bayilerine kredi raporları, uyum çözümleri, kimlik doğrulama ve dolandırıcılık tespit hizmetleri sağlayan şirketin verileri kopyalandı. İsimler, Sosyal Güvenlik Numaraları, doğum tarihleri ve fiziksel adresler açığa çıktı.
700Credit, Federal Ticaret Komisyonu’na (FTC) bayi müşterileri adına konsolide ihlal bildirimi yapacağını duyurdu. Şirket yetkilileri, “FBI ve FTC’ye zamanında haber verdik ve FTC ile yaptığımız görüşmede, bayilerin FTC bildirim yükümlülüklerini 700Credit’in tek başına filinginin karşıladığını teyit ettik. Ayrıca bayiler adına eyalet başsavcılık ofislerine bildirimde bulunacağız. Etkilenen tüketiciler bilgilendirilecek ve kredi izleme hizmetleri ile ihtiyaç duydukları destek sunulacak. NADA ile doğrudan çalışıyoruz” diye aktardı.
Bu kapsamda bayilerin ayrı FTC bildiriminde bulunması gerekmediği belirtildi. Ancak eyalet düzeyindeki ihlal bildirim zorunlulukları devam ediyor ve bayilere yasal danışmanlık almaları tavsiye edildi.
SitusAMC’ye yönelik ayrı bir siber saldırı 12 Kasım 2025’te keşfedildi. Büyük bankaların emlak kredisi ve ipotek hizmetlerinde kullanılan muhasebe kayıtları ile yasal anlaşmalar çalındı.
Prosper Marketplace, 700Credit ve SitusAMC vakaları, finansal hizmetler ile fintech şirketlerine yönelik hedefli saldırıların arttığını gösteriyor. Bu şirketler, hacmi ve hassasiyeti yüksek veriler taşıdığı için tercih ediliyor. Hiçbir tehdit aktörü sorumluluğu üstlenmedi, ancak maruz kalma ölçeği kimlik hırsızlığı, finansal dolandırıcılık ve uzun vadeli tüketici riskleri yaratıyor.
Her iki şirket de etkilenen bireyleri uyanık olmaya, kredi raporlarını izlemeye ve şüpheli etkinlikleri bildirmeye çağırdı. Prosper Marketplace, müşterilerine iki yıl Experian kredi izleme hizmeti sağlarken, 700Credit tüketicilere benzer destek sunmayı taahhüt etti. NADA ile iş birliği devam ediyor.
Finans sektöründeki bu ihlaller, veri güvenliğinin kritikliğini bir kez daha vurguluyor. Şirketler, ek güvenlik yatırımlarıyla sistemlerini güçlendirdiğini ifade etti. Kolluk ve regülatör kurumlarla koordinasyon sağlandı.
Eyaletlere göre dağılımda Teksas en yüksek etkiye sahip eyalet olarak öne çıkıyor. Güney Carolina ve Washington gibi bölgelerde de yüz binlerce kişi risk altında. Saldırganların Haziran’dan Ağustos’a uzanan dönemde erişim sağladığı doğrulandı.
700Credit’in bayi odaklı hizmetleri, otomobil sektörünü doğrudan etkiliyor. FTC onayıyla tek bildirim yeterli görülürken, eyalet yasaları ayrı uyumu zorunlu kılıyor.