Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Daha Fazla Mağdur Sayılmaya Devam Ederken 77 Milyon Kişinin Bilgileri Açığa Çıktı
Mathew J. Schwartz (euroinfosec) •
20 Kasım 2023
Clop fidye yazılımı grubunun MOVEit sunucularına yaptığı toplu saldırı saldırısından etkilenen kişilerin çetelesini takip edenler, sürekli artan toplama 4,5 milyon hasta verisi daha ekledi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Yeni eklemeler sağlık platformu Welltok, Kaliforniya Tıbbi Göz Hizmetleri ve Medicaid yüklenicisi Maximus Federal Hizmetler’den geliyor. MOVEit sunucularının ihlal edildiğini bildiren, aralarında eyaletin nüfus sayısına eşit olan yaklaşık 1,3 milyon kişiye ait verilerin çalındığını söyleyen Maine eyaleti de dahil olmak üzere, uzun ve giderek büyüyen kuruluşlar listesine katılıyorlar.
Veri çalma saldırıları, 27 Mayıs civarında, Clop (diğer adıyla Cl0p) fidye yazılımı grubunun, Progress Software tarafından geliştirilen MOVEit güvenli dosya aktarım yazılımındaki, daha sonra CVE-2023-34362 olarak adlandırılan sıfır gün güvenlik açığından yararlanmaya başlamasıyla başladı. 31 Mayıs’ta Massachusetts merkezli satıcı, kullanıcıları saldırı kampanyası konusunda uyardı ve kusuru düzeltmek için bir yama yayınladı.
Güvenlik firması Emsisoft’un Pazar günü bildirdiğine göre, MOVEit saldırılarından en az 2.618 kuruluş etkilendi ve bu da 77 milyondan fazla kişinin bilgilerinin açığa çıkmasına yol açtı. En çok etkilenen sektörlerin eğitim, sağlık hizmetleri ile finansal ve profesyonel hizmetler olduğu ancak tüm mağdurların hassas verilerinin kaybolmadığı belirtildi (bkz: Clop’un MOVEit Tedarik Zinciri Saldırılarından Alınacak Dersler).
Progress Software geçen ay Massachusetts federal mahkemesinde toplu dava statüsü isteyen 58 ayrı dosyalanmış davanın yanı sıra federal ve eyalet düzenleyicilerinin yanı sıra yabancı veri gizliliği düzenleyicileri tarafından başlatılan soruşturmalardan oluşan bir toplu dava davasıyla karşı karşıya olduğunu bildirdi (bkz.: ABD Menkul Kıymetler ve Borsa Komisyonu MOVEit Hack’ini Soruşturuyor).
Welltok 3,5 Milyon Hastaya Haber Verdi
Bu arada daha fazla MOVEit kurbanı sayılmaya devam ediyor. Bu, Virgin Pulse’un sahibi olduğu sağlık platformu Welltok’un doğrudan bilgilendirmeye başladığı 3,5 milyon kişiyi içeriyor.
Welltok, ilk olarak 24 Ekim’de MOVEit saldırılarının kurbanı olduğunu açıkladı. Şirket, MOVEit dosya aktarım sunucusunun 30 Mayıs’ta ihlal edildiğini doğruladığını ve ortaya çıkan tüm kurbanları “sistemlerinin tam olarak yeniden yapılandırılması” sonrasında tespit ettiğini söyledi. ve geçmiş veriler” başlıklı raporunu 11 Ağustos’ta tamamladı.
California Sutter Health, 3 Kasım’da yaklaşık 845.441 Sutter Health hastasının kişisel bilgilerinin çalındığını ve tüm hastaların doğrudan Welltok tarafından mektuplarla bilgilendirildiğini bildirdi.
Cuma günü Welltok, “Stanford Health Care, Stanford Health Care, Lucile Packard Çocuk Hastanesi Stanford, Stanford Health Care Tri-Valley, Stanford Medicine Partners ve Packard Children’s Health Alliance’ın grup sağlık planları” için tuttuğu verilerin, çalınmış.
Welltok, Palo Alto, California ve çevresinde bulunan Stanford Health Care ve ilgili planların bir parçası olan 1,6 milyon hasta için isim, adres, doğum tarihi ve sağlık bilgilerinin açığa çıktığını ve etkilenen hastaları Cuma günü doğrudan bilgilendirmeye başladığını söyledi.
Welltok Cuma günü ayrıca Michigan’ın güneydoğusundaki yaklaşık 1 milyon Corewell Health hastasına ve Öncelikli Sağlık planının 2.500 kullanıcısına bilgilerinin MOVEit sunucusundan çalındığını bildirmeye başladı. Etkilenen Corewell Health hastaları için çalınan bilgiler arasında isim, doğum tarihi, e-posta adresi, telefon numarası, teşhisler, sağlık sigortası bilgileri ve Sosyal Güvenlik numarası yer alıyordu.
Tıbbi Göz Hizmetleri 665.000 Mağduru Gördü
MOVEit kurbanlarından bir diğeri de Tıbbi Göz Hizmetleri. California Blue Shield satıcısı Cuma günü yaptığı açıklamada, MOVEit sunucusundan 664.824 kişinin adının ve Sosyal Güvenlik numarasının çalındığını söyledi.
Merkezi Foothill Ranch, Kaliforniya’da bulunan Medical Eye Services, kendisine yönelik saldırının 28 Mayıs’tan 31 Mayıs’a kadar sürdüğünü söyledi.
Mağdurlara gönderilen veri ihlali bildiriminde Blue Shield of California’nın baş gizlilik sorumlusu David Keystone, şirketin kurbanların sorularını yanıtlamak için özel bir çağrı merkezi kurduğunu ve mağdurlara Kroll aracılığıyla bir yıllık ön ödemeli kimlik hırsızlığı izleme olanağı sunulduğunu söyledi. . Ayrıca “satıcının MOVEit sistemini altın standart yapı gerekliliklerine uygun olarak yeniden inşa ettiğini” ve “sistemi yeniden etkinleştirmeden önce satıcının uygulanan güvenlik kontrollerini doğrulamak için bir dizi teknik önlem aldığını” söyledi.
Maximus 11,3 Milyon Kurban Saydı
Başka bir MOVEit hedefi yeni kurbanları saydı. Perşembe günü, Medicare ve Medicaid Hizmetleri Merkezleri, 330.000 kişinin daha kişisel bilgilerinin Medicare yüklenicisi Maximus Federal Services tarafından ifşa edildiğine dair bilgilendirildiğini bildirdi. CMS, MOVEit saldırılarında kendi sistemlerinin ihlal edilmediğini söyledi.
CMS, 27 Mayıs’tan 31 Mayıs’a kadar Maximus’tan çalınan bilgilerin hasta adlarını, Sosyal Güvenlik numaralarını, doğum tarihlerini, adreslerini ve iletişim bilgilerini, sürücü belgesi numaralarını, sağlık sigortası taleplerini ve reçete bilgilerini ve bazı durumlarda Medicare Yararlanıcı Tanımlayıcısını içerdiğini söyledi. CMS, MBI’si potansiyel olarak açığa çıkan herkesin yeni bir benzersiz kimlik numarasına sahip yeni bir MBI kartı alacağını söyledi. “CMS, yeni kartı önümüzdeki haftalarda adresinize postalayacak” dedi. “Bu arada mevcut Medicare kartınızı kullanmaya devam edebilirsiniz.”
Maximus ilk olarak 2 Haziran’da CMS’ye MOVEit kampanyasının kurbanı olduğunu bildirdi. 26 Temmuz’da Maximus, federal düzenleyicileri, Clop’un MOVEit sunucularından 169 gigabaytlık veriyi sızdırmasının ardından “en az” 8 ila 11 milyon kişinin bilgilerinin çalındığı konusunda uyardı ve bu da onu bilinen en büyük MOVEit saldırısı kurbanı haline getirdi. Maximus mağdurlara 24 ay ön ödemeli kredi izleme hizmetleri sunuyor.