Barts Health NHS Trust, Cl0p fidye yazılımı çetesinin Oracle E-Business Suite yazılımındaki kritik bir güvenlik açığından yararlanmasının ardından hasta ve personel bilgilerini etkileyen önemli bir veri ihlalini açıkladı.
Suç örgütü, bir fatura veri tabanından dosyaları çaldı. Bunları karanlık ağda yayınlayarak birkaç yıl boyunca Barts Health hastanelerinde tedavi veya hizmet alan kişilerin kişisel verilerini tehlikeye attı.
İhlal, temel iş süreçlerini otomatikleştirmek için tasarlanmış bir yazılım olan Oracle E-Business Suite’teki sıfır gün güvenlik açığından kaynaklandı.
Bu güvenlik kusuru, Oracle bir yama yayınlamadan önce dünya çapındaki kuruluşları etkilemişti.
Çalınan dosyalar öncelikle tedavi ödemelerinden sorumlu hastaların isimlerini ve adreslerini içeriyor ancak vakıf, elektronik hasta kayıtlarının ve klinik sistemlerin etkilenmediğini vurguluyor.
İhlalin Kapsamı
Güvenliği ihlal edilen veritabanı, birkaç yıla yayılan faturayla ilgili bilgileri içeriyor.
Etkilenen kişiler arasında Barts Health tesislerinde özel tedavi gören, ödeme yapan hastalar ve maaş fedakarlıkları planları veya fazla ödemelerle ilgili ödenmemiş borçları nedeniyle işten ayrılan eski personel yer alıyor.
Açığa çıkan dosyaların neredeyse yarısı halihazırda kamuya açık olan tedarikçi bilgilerini içeriyor.
Ek olarak veri tabanı, Barts Health’in Barking, Havering ve Redbridge Üniversite Hastaneleri NHS Trust’a Nisan 2024’ten bu yana sağladığı muhasebe hizmetlerinin kayıtlarını da içeriyordu.
Her iki kuruluş da olaydan etkilenenlerin zararını en aza indirmek için işbirliği yapıyor.
Veri hırsızlığı Ağustos ayında meydana geldi ancak Barts Health, Cl0p’nin çalınan dosyaları karanlık ağda yayınladığı Kasım ayına kadar bu riskten habersiz kaldı.
Vakıf, herhangi bir tarafın ele geçirilen verileri yayınlamasını, kullanmasını veya paylaşmasını yasaklayan bir Yüksek Mahkeme kararını takip ediyor.
Şu anda çalınan bilgiler şifrelenmiş karanlık web platformlarıyla sınırlı kalıyor ve genel internette yayınlanmıyor.
Ancak güvenlik uzmanları, suçluların sosyal mühendislik taktikleri yoluyla kurbanları hassas bilgileri ifşa etmeleri veya hileli ödemeler yapmaları için kandırarak açığa çıkan verilerden yararlanabilecekleri konusunda uyarıyor.
Barts Health, NHS İngiltere, Ulusal Siber Güvenlik Merkezi, Metropolitan Polisi ve Bilgi Komiserliği Ofisi ile yakın işbirliği içinde çalışmaktadır.
Vakıf, ihlali ilgili tüm düzenleyici makamlara bildirdi ve halka, temel BT altyapısı güvenliğinin bozulmadan kaldığına dair güvence verdi.
Güvenliği ihlal edilmiş veriler hakkında bilgi almak isteyen etkilenen kişiler, tedaviden sonra aldıkları faturaları incelemelidir.
Vakıf, endişeleriniz için veri koruma görevlileriyle iletişime geçmenizi ve Stop! adresini ziyaret etmenizi tavsiye ediyor. Kişisel bilgilerin dolandırıcılıktan korunması konusunda rehberlik için Dolandırıcılık kaynaklarını düşünün.
Barts Health, olaydan dolayı özür diledi ve gelecekte benzer olayların yaşanmaması için tedarikçilere ek önlemler uygulama sözü verdi.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.