3. taraf risk yönetimi, veri ihlali bildirimi, veri güvenliği
Firma, hacker’ın çalınan bilgileri silme sözü karşılığında fidye ödemeyi kabul ediyor
Marianne Kolbasuk McGee (Healthinfosec) •
30 Temmuz 2025
Diğer eyaletlerde ofisleri olan Florida merkezli iki hukuk firması, sağlık hizmetleri ve diğer bilgileri ayrı veri hırsızlığı olaylarında potansiyel olarak tehlikeye atılan 282.100 kişiyi bilgilendiriyor. Verilerinin Darkweb’e sızmasını önlemek için bir fidye ödemeyi kabul eden firmalardan biri.
Ayrıca bakınız: Ondemand | İnternetin sizi gözetlemesinin tüm yolları
İki ihlalden çok daha büyük olanı, beş ABD eyaletinde çalışan ve diğer ülkelerde uydu ofisleri olan Florida merkezli Zumpano Patricios PA Coral Gables tarafından bildirildi. ZP Law, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na 3 Temmuz’da hackinin yaklaşık 280.000 kişinin HIPAA korumalı sağlık bilgilerini etkilediğini söyledi.
ZP yasası, sağlık sigortası şirketleriyle anlaşmazlıklarda sağlık hizmeti sağlayıcılarını temsil eder ve genellikle elektronik tablolarda tıp kuruluşlarından kişisel bilgiler alır. Firma, olayın 6 Mayıs’ta tespit edilen bir siber saldırı içerdiğini bildirdi.
ZP Yasası, saldırının ne zaman başladığı tarih ve saatin şu anda bilinmediğini söyledi.
Hukuk firması, olayla ilgili soruşturma, yetkisiz bir tehdit aktörünün ZP Law’un BT ortamından bazı dosyaların bazı dosyalarının kopyalarını eriştiğini ve potansiyel olarak söndürüldüğünü belirledi.
Hack’ten potansiyel olarak etkilenen ZP yasası verileri bireye göre değişir, ancak isimler, sağlık hizmeti sağlayıcısı adları, üye kimlik numaraları, sağlık sigortası bilgileri, hizmet tarihleri, ücretlendirilen ve ücretli tutarlar, sosyal güvenlik numaraları, klinik kodlama bilgileri ve tıbbi kayıtlar gibi bilgileri içerir.
ZP Yasası, bilgi güvenliği medya grubunun yorum talebine ve ihlalle ilgili ek ayrıntılara hemen yanıt vermedi.
Labovick Hukuk Grubu Hack
İkinci hukuk firması ihlali, Sunshine State ve Massachusetts’te ofisleri olan Florida merkezli Labovick Law Group Palm Beach Gardens tarafından bildirildi.
Labovick, Maine Başsavcılığına 16 Temmuz’da Ekim 2024 hackleme olayının 2.825 kişiyi etkilediğini söyledi.
Hukuk bürosu, hackinin, etkilenen bir sunucudan LaBovick’in verilerinin bir kısmını açıklayan “iyi bilinen bir fidye yazılımı grubu” tarafından gerçekleştirildiğini söyledi.
Potansiyel olarak tehlikeye atılan bilgi bireyler arasında değişir, ancak isimleri, adresleri, doğum tarihlerini içerir; Sosyal Güvenlik Numaraları; ehliyet numaraları, devlet tarafından verilen kimlik numaraları, banka hesabı bilgileri; Sağlık Sigortası Kimliği Numaraları ve Politika Numaraları, Sağlık Sigortası Talepleri Geçmişi ve Tıbbi Geçmiş ve Kayıtlar.
Labovick, Kasım 2024’te açıklanmayan bir fidye ödedi ve “siber suçlu olduğunu” hukuk firmasının verilerinin silindiğini ve sızdırılmayacağını söyledi.
ZP Yasası veya Labovick hukuk davalarıyla ilgilenmeyen Hales Hukuk Grubu’ndan avukat Paul Hales, fidye talebinin bir hukuk firmasını siber suçlarla müzakere etme konusunda güvencesiz bir konuma getirdiğini söyledi.
“Her hukuk firması, fidye talebine yanıtını hazırlamak için etik, yasal ve iş sonuçlarını dikkatle değerlendirmelidir. Bu aynı zamanda kritik bir sürekli yasal eğitim konusudur.” Dedi.
Labovick, ISMG’nin sorumluluk ve ödenen fidye tutarı talep eden siber suç grubu da dahil olmak üzere olayla ilgili ek ayrıntı talebine hemen yanıt vermedi.
Benzer Saldırılar
ZP Yasası ve Labovick Hukuk Grubu’na yapılan saldırılar, yasa firmalarını hedefleyen ve son yıllarda sağlık verilerini içeren birkaç yüksek profilli hack arasındadır.
Güvenlik firması Lumifi Cyber Field Ciso, “Hukuk firmaları, özellikle de tartışmalı tıbbi faturalandırma dava açanlar, gasp için kullanılabilecek veya Darkweb pazarları aracılığıyla satış yapılarak para kazanılan ev kayıtları.” Dedi.
“Daha küçük firmaların da personel üzerinde nitelikli siber güvenlik uygulayıcılarına sahip olmaları muhtemel değildir ve bir sektör olarak çok hafif bir şekilde düzenlenir – halka açık olmasa da ve bu nedenle bir uygulama standardında tutulmaz.” Dedi. “Kötü önleyici kontrollerin ve değerli kayıtların birleşimi onları kayıt hırsızlığı ve gasp için mükemmel bir hedef haline getiriyor.”
Hales, hukuk firmalarının son derece ayrıcalıklı müşteri bilgilerini sürdürdüğünü ve her dosyanın gizliliğini ve güvenliğini dikkatlice korumaları gerektiğini söyledi. “Bununla birlikte, HIPAA, PHI’nin korunması için, çalışanların PHI’ye erişimini kısıtlayan ‘minimum minimum’ standart gibi ek gereksinimler getiriyor ve ayrıca güvenlik kuralına ve işgücü HIPAA uyumluluk eğitimine tam uyum sağlar.” Dedi.
“Hukuk firması iş ortakları, ne kadar titiz olduklarına bakılmaksızın düzenli güvenlik uygulamalarına ek olarak HIPAA uyumluluğuna öncelik vermelidir.” Dedi.
Hukuk firmalarına yönelik önceki birkaç saldırının her biri yüz binlerce kişinin Phi’sini de etkiledi.
Geçen Kasım ayında, veri ihlali yasası ve diğer yasal davalar konusunda uzmanlaşmış Missouri merkezli bir ulusal hukuk firması olan Thompson Coburn LLP, Mayıs 2024’te New Mexico’daki Presbyterian sağlık hizmetlerini etkileyen sistemlerinde 305.088 kişinin etkilendiğini bildirdi (bakınız: Hukuk Bürosu Hack, Sağlık Sistemi’nin hasta verilerini tehlikeye atar).
Temmuz 2023’te, veri ihlali davası hizmetleri de sunan küresel hukuk firması Orrick, Herrington & Sutcliffe, eyalet ve federal düzenleyicilere çeşitli sağlık sektörü müşterilerini ve toplam 638.000 kişiyi etkileyen bir hack olayı bildirdi.
Nisan 2024’te Orrick, Vizyon Faydaları Planı Eyemed ve Diş Sigorta Planı Sağlayıcısı Delta Dental’i de içeren müşterileri etkileyen veri ihlalinin ardından firmaya açılan konsolide önerilen bir sınıf eylem davasını çözmek için 8 milyon dolarlık bir çözüm kabul etti (bakınız: bkz: Hukuk Bürosu Sağlık Veri Hack Dava Durumu için 8 milyon dolar ödeyecek).
Çarşamba günü, birkaç ulusal hukuk firması son günlerde olası sınıf eylem davaları için ZP yasası veri ihlalini araştırdıklarını belirten kamu beyanları yayınlamıştı. Böyle bir dava zaten bir Florida federal mahkemesinde ZP yasalarına karşı açılmıştır.