Washington DC’nin DC Health Link olarak da bilinen Health Benefit Exchange Authority’nin bir veri ihlaline maruz kaldığı iddia edildi. 170.000 kişinin kişisel bilgilerini içeren bir veri tabanı, bir veri sızıntısı forumunda satışa sunuldu.
Potansiyel veri ihlali haberleri, sosyal güvenlik numaraları, doğum tarihleri ve sağlık ve hastalık geçmişi dışında adresler gibi hassas kişisel bilgiler risk altında olduğundan endişe yarattı.
Bir kullanıcı, DC Health Link’ten alınan verilere sahip olduğunu ve bunları dark web’de sattığını iddia ederek bir çevrimiçi ihlal forumunda gönderi paylaştı.
Ele geçirilen verilerin abone kimliği, üye kimliği, politika kimliği, durum, ad ve soyadlar, sosyal güvenlik numaraları, doğum tarihleri, cinsiyet, ilişki, fayda türü, plan adı ve daha fazlasını içerdiği bildiriliyor.
Satıcı, veriler için açıklanmayan miktarda XMR kripto para birimi talep etti ve bir aracı aracılığıyla kendisiyle iletişime geçilmesini talep etti.
DC Health Link veri ihlali: Tehdit aktörleri neden sağlık kurumlarını hedefliyor?
DC Health Link, Washington, DC’de ikamet edenlere sağlık sigortası seçenekleri sunmaktan sorumludur. Yetkili, Columbia Bölgesi’ndeki bireylerin ve küçük işletmelerin uygun fiyatlı sağlık sigortası bulmasına yardımcı olmak için Uygun Fiyatlı Bakım Yasası’nın (ACA) bir parçası olarak kurulmuştur.
Potansiyel veri ihlali, DC Health Link aracılığıyla sağlık sigortasına kaydolan binlerce kişiyi etkileyebilir.
Veri ihlallerinin bireyler için kimlik hırsızlığı, finansal kayıp ve diğer zararlı etkiler dahil olmak üzere ciddi sonuçları olabilir. İhlale yanıt olarak DC Health Link, konuyu araştırdıklarını ve kullanıcılarının kişisel bilgilerinin güvenliğini ve gizliliğini sağlamak için uygun önlemleri aldıklarını belirten bir bildiri yayınladı.
Ayrıca kullanıcıları mali ve kişisel bilgilerini izlemeye ve şüpheli faaliyetleri bildirmeye çağırdılar.
Hastaneler ve sağlık kurumları, sahip oldukları çok sayıda hassas ve değerli veri nedeniyle bilgisayar korsanları için çekici hedeflerdir. Bu, hastaların kişisel ve tıbbi bilgilerini, finansal kayıtları ve araştırma ve geliştirme verileri gibi fikri mülkiyeti içerir.
Cyber Express, olayla ilgili sorular için DC Health Link’e ulaştı. Kuruluştan bir onay almadık.
ABD Sağlık ve veri ihlalleri
DC Health Link, veri ihlalleriyle karşı karşıya kalan uzun ABD sağlık hizmetleri zincirinin en yenisidir. Thomson Reuters Regulatory Intelligence tarafından belirtildiği gibi, sağlık hizmeti sağlayıcıları birden çok kaynaktan gelen veri ihlali riskleriyle karşı karşıyadır. Üç ana kaynak; çalışanlar, üçüncü taraf satıcı araçları ve siber suçlulardır.
Ocak ayında Alabama’daki DCH Sağlık Sistemi, bir çalışanın meşru bir ticari ihtiyaç olmaksızın elektronik tıbbi kayıtlara erişmesinden kaynaklanan bir veri gizliliği ihlali bildirdi. Hastane, rutin bir gizlilik denetimi sırasında olayı fark etti.
“Bu çalışan tarafından yetkisiz olarak erişilmiş ve görüntülenmiş olabilecek bilgiler şu veri unsurlarını içermektedir: isim, adres, doğum tarihi, sosyal güvenlik numaraları, karşılaşma tarihi, teşhisler, yaşamsal belirtiler, ilaçlar, test sonuçları ve klinik/ sağlayıcı notları” organizasyonunu duyurdu.
Ayrıntılı araştırma, çalışanın ayrıca işle ilgili geçerli bir ihtiyaç olmaksızın Eylül 2021 ile 9 Aralık 2022 arasında ek hasta kayıtlarına eriştiğini ve bunları görüntülediğini ortaya çıkardı.
Ocak ayında UCLA Health, bir randevu talep formundan veri toplayan ve aktaran üçüncü taraf analiz araçlarıyla ilgili bir sorunu açıkladı.
Sağlık kuruluşundan yapılan açıklamada, “UCLA Health kısa süre önce UCLA Health web sitesinde ve mobil uygulamasında analiz araçlarının kullanımıyla ilgili bir sorun öğrendi” dedi.
“Özellikle, UCLA Health’in UCLA Health web sitesinde veya UCLA Health mobil uygulamasında doldurulmuş bir randevu talep formundaki (“Randevu Talep Formu”) analiz araçları, Randevu Talebinden belirli sınırlı bilgileri üçüncü taraf hizmet sağlayıcılarımıza almış ve iletmiş olabilir. Biçim.”