Veri ihlalinin kurbanı olan Apria Healthcare LLC, KOAH, uyku apnesi ve diyabet gibi durumlar için geniş bir tıbbi ekipman yelpazesi sunarak yılda 2 milyondan fazla hastaya hizmet vermektedir.
1 Eylül 2021’de, önde gelen bir evde sağlık ekipmanı sağlayıcısı olan Apria Healthcare’e, bilgisayar ağında 1,8 milyona kadar kişinin kişisel ve gizli bilgilerini tehlikeye atan yetkisiz erişim tespit edildiği bildirildi (PDF).
22 Mayıs 2023’te Apria Healthcare, sistemlerinde meydana gelen bir veri ihlaliyle ilgili olarak Maine Başsavcısına bir bildirimde bulundu. Yetkisiz bir taraf, adlar, Sosyal Güvenlik numaraları, kişisel ayrıntılar, tıbbi kayıtlar, sağlık sigortası bilgileri ve finansal veriler dahil olmak üzere gizli hasta bilgilerini içeren dosyalara başarıyla erişti.
Erişilen finansal veriler, hesap numaralarını, kredi/banka kartı numaralarını, hesap güvenlik kodlarını, erişim kodlarını, parolaları ve PIN’leri içerir. İhlal iki döneme yayıldı: 5 Nisan – 7 Mayıs 2019 ve 27 Ağustos – 10 Ekim 2021.
Apria Healthcare, ihlali keşfettikten sonra derhal bir soruşturma başlattı ve yetkisiz erişimin boyutunu değerlendirmek için bir siber güvenlik firmasıyla görüştü. Yanıtlarının bir parçası olarak şirket, açığa çıkan belirli bilgileri belirlemek ve etkilenen kişileri belirlemek için güvenliği ihlal edilmiş dosyaları inceledi.
22 Mayıs 2023’te Apria, olay sırasında verileri potansiyel olarak tehlikeye giren tüm kişilere veri ihlali bildirim mektupları gönderdi.
Olayın zaman çizelgesi şu soruyu gündeme getiriyor: Apria’nın ihlal bildirim mektupları yayınlaması ve Maine Başsavcısına bir bildirimde bulunması veri ihlalinin keşfedilmesinden itibaren neden 20 ay sürdü?
Merkezi Indianapolis, Indiana’da bulunan Apria Healthcare LLC, önde gelen bir evde sağlık ekipmanı sağlayıcısıdır. Amerika Birleşik Devletleri genelinde 200’den fazla lokasyonla şirket yılda 2 milyondan fazla hastaya hizmet vererek KOAH, uyku apnesi ve diyabet gibi durumlar için geniş bir tıbbi ekipman yelpazesi sunuyor.
Apria Healthcare, saldırganların birincil amacının “hastalarının veya çalışanlarının kişisel bilgilerine erişmek değil, hileli bir şekilde Apria’dan fon elde etmek” olduğunu iddia ediyor.
Son yıllarda sağlık hizmeti sağlayıcıları, sahip oldukları çok sayıda hassas bilgi nedeniyle siber suçlular için çekici hedefler haline geldi. Apria Healthcare’den veri ihlali bildirim mektupları alan bireylerden, potansiyel kimlik hırsızlığı veya dolandırıcılığa karşı kendilerini korumak için derhal harekete geçmeleri istenmektedir. Bir veri ihlali avukatından rehberlik istemek, yasal seçenekler ve ihlalle ilişkili riskleri azaltmak için atılacak adımlar hakkında değerli bilgiler sağlayabilir.
İhlalin ardından Apria Healthcare, olayı kapsamlı bir şekilde araştırmak için Federal Soruşturma Bürosu (FBI) dahil olmak üzere kanun uygulayıcılarla yakın bir şekilde çalıştı. Şirket, ağının dayanıklılığını artırmak ve gelecekte benzer ihlallerin meydana gelmesini önlemek için ek güvenlik önlemleri aldı.
Şu anda veri hırsızlığı veya kötüye kullanımına dair bir kanıt bulunmamakla birlikte, olasılık göz ardı edilemez. Durumu ele almak ve potansiyel riskleri azaltmak için Apria Healthcare, etkilenen bireyleri korumak için çeşitli önlemler almıştır. Tanınmış bir kimlik hırsızlığı koruma hizmetleri sağlayıcısı olan Kroll aracılığıyla bir yıllık ücretsiz kredi izleme hizmetleri sunarak etkilenen bireylere bir destek jesti yaptı.
İLGİLİ MAKALELER
Sağlık Hizmetinde IoT Güvenliği Neden Önemlidir?
ABD sağlık borç tahsildarı fidye yazılımı saldırısına uğradı
Japon Sağlık Firması 12.000 Hastanın Görüntülerini Sızdırdı
Avrupa’nın en büyük sağlık kuruluşu Snake fidye yazılımı tarafından vuruldu