Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Ocuco ve bölüm ihlalleri sağlık sektörü müşterilerini, hastaları etkiler
Marianne Kolbasuk McGee (Healthinfosec) •
13 Haziran 2025
İrlanda merkezli bir göz bakım uygulaması ve optik laboratuvar yazılımı sağlayıcısı Ocuco ve Kaliforniya merkezli bir tıbbi kodlama hizmetleri firması olan Episource, biz ve düzinelerce müşterisini ve yüz binlerce kişiyi etkileyen eyalet düzenleyicilerine ayrı bir hack olayları bildirdi.
Ayrıca bakınız: Vmware karbon siyah uygulama kontrolü
88 ülkede 6.750 müşteri sitesine yazılım ve hizmet sağladığını söyleyen İrlanda merkezli Ocuco Dublin, 30 Mayıs’ta ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na, bir ağ sunucusunu içeren bir hack olayının yaklaşık 241.000 kişiyi etkilediğini bildirdi.
Ransomware Gang Killsec, karanlık web sızıntısı sitesinde, 670.344 dosya ve 26.838 klasör dahil olmak üzere 340 gigabayt Ocuco verisine sahip olduğunu iddia ediyor.
1 Nisan’da Bilgi Güvenliği Medya Grubu’na verilen bir açıklamada bir OCUCO sözcüsü, şirketin karanlık bir web sitesinde “üçüncü bir tarafın” OCUCO’nun ortamından çalındığını iddia ettiğini iddia ettiğini söyledi.
Açıklamada, “Sanal ortamımızı güvence altına almak için hemen adımlar attık ve dış siber güvenlik uzmanlarıyla ilgilenerek bu iddianın meşru olup olmadığını belirlemek için bir soruşturma başlattık.” Dedi.
OCUCO, “Araştırmamız, yeni keşfedilen bir güvenlik açığı tarafından etkinleştirilen – bu sistemlerde kullandığımız üçüncü taraf yazılımlarda yer alan Ocuco’ya açıklanmayan, üretim dışı sunucularımızdan ikisine ve bazı dosyalarımızın yetkisiz erişiminin olduğunu belirledi.” Dedi.
Diyerek şöyle devam etti: “Güvenlik açığını tamamen yamaladık ve genel siber güvenlik duruşumuzu daha da güçlendirmek için diğer ek güvenlik süreçleri ve prosedürleri uyguladık.”
Ocuco, hala bilgileri dosyalarda bulunmuş olabilecek bireyleri tanımlamak için olaya dahil olan dosyaların ayrıntılı bir incelemesini gerçekleştirme sürecinde olduğunu söyledi.
Ocuco, “Bu süreç tamamlanır tamamlanmaz, ilgili tarafları ve bireyleri bilgilendirme sürecine başlayacağız ve kişisel bilgilerini yürürlükteki yasalara uygun olarak korumaya yardımcı olacak kaynaklar sağlayacağız.” Dedi.
Diyerek şöyle devam etti: “Ayrıca, ilerledikçe ağımız, sistemlerimiz ve verilerimiz için en yüksek güvenlik seviyelerini korumaya odaklanarak siber güvenlik kontrollerimiz ve prosedürlerimizin genel bir incelemesini gerçekleştirdik.”
OCUCO, ISMG’nin küresel olarak potansiyel olarak etkilenen bireylerin sayısı ve hack’teki üçüncü taraf yazılım güvenlik açığı türü de dahil olmak üzere olayla ilgili diğer ayrıntılar talebine hemen yanıt vermedi.
Epizource hack
Bu arada, Gardena, Kaliforniya’da bulunan Episource LLC, California ve Teksas da dahil olmak üzere çeşitli eyaletlerdeki bireyleri Şubat ayında keşfedilen bir fidye yazılımı olayı hakkında bilgilendirmeye başladı.
Sadece Lone Star State’te Episource, düzenleyicilere olayın 24.259 kişiyi etkilediğini söyledi. Şirketin Kaliforniya başsavcılığına verdiği rapor, bu eyalette kaç kişinin etkilendiğini söylemiyor. Cuma günü, Episource’un hack olayı henüz HHS Sivil Haklar HIPAA ihlali ofisinde, 500 veya daha fazla kişiyi etkileyen sağlık veri ihlallerini listeleyen araç website raporlarını bildirmedi.
Episource, sağlık sektörü müşterilerine tıbbi kodlama ve risk ayarlama yazılımı ve hizmetleri sağlar. Bu hafta etkilenen müşterilerin bazıları, Kaliforniya’daki sağlık dağıtım sistemi Sharp Healthcare ve New Jersey’den sağlık sigorta şirketi Horizon Blue Cross Blue Shield dahil olmak üzere olay hakkında kamuoyu bildirimleri yayınlamaya başladı.
Sharp, ihlal bildiriminde, “24 Nisan’da keskin bir sağlık hizmeti ve Sharp Topluluk Tıbbi Grubu iş ortağı olan Episource, Sharp’ın fidye yazılımı veri ihlalinden etkilenen müşterilerinden biri olduğunu doğruladı.” Dedi.
Sharp, “Güvenlik açığının farkına vardıktan hemen sonra, epizource sistem uygulamalarına erişimi durdurdu ve bilgilerimizin etkilenip etkilenmediğini belirlemek için kapsamlı bir soruşturma başlattı. Bu soruşturma, sistemde barındırılan keskin bilgilere 27 Ocak ve 6 Şubat 2025 arasında izin verilmeden erişildiğini ve edinildiğini doğruladı.” Dedi.
Episource, ihlal bildiriminde, olay hakkında kolluk kuvvetlerini bildirdiğini ve siber güvenlik uzmanlarını yanıt ve soruşturmaya yardımcı olmaları için işe aldığını söyledi.
Episource, “Araştırmamızdan, bir siber suçlunun bilgisayar sistemlerimizdeki bazı verilerin kopyalarını görebildiğini ve alabildiğini öğrendik.” Dedi.
Etkilenen bilgiler bireyler arasında değişir, ancak potansiyel olarak ad, adres, telefon numarası, e-posta adresi, doğum tarihi, sağlık planları/politikaları, sigorta şirketleri, üye ve grup kimlik numaraları, Medicaid-Medicare-Hükümet ödeme kimlik numaraları, tıbbi kayıt numaraları, doktorlar, teşhisler, ilaçlar, test sonuçları, bakım ve tedavi içerir. Episource, sosyal güvenlik numaralarının da “sınırlı durumlarda” etkilendiğini söyledi.
Episource, ISMG’nin etkilenen toplam müşteri sayısı ve etkilenen kişiler de dahil olmak üzere hack hakkında ek ayrıntılar talebine hemen yanıt vermedi.
Son zamanlarda bazı büyük ABD hukuk firmaları, son günlerde OCUCO ve bölüm ihlalleri hakkında ayrı kamuoyu bildirimleri yayınladı ve potansiyel sınıf eylem davaları için olayları araştırdıklarını söyledi. Cuma gününe kadar, Şirket’in ihlalini içeren bir Kaliforniya federal mahkemesinde şimdiye kadar bölüme kadar önerilen en az iki sınıf davası açıldı.
Cuma günü, HHS OCR web sitesi, 2025 yılında 22,3 milyondan fazla kişiyi etkileyen 314 ana veri ihlali göstermektedir. Bunlardan 113’ünün 9.5 milyondan fazla etkileyen bir yazılım hizmetleri sağlayıcısı veya diğer üçüncü taraf satıcısı gibi bir iş ortağı olduğu bildirildi.