Kâr amacı gütmeyen bir sağlık sigortası sağlayıcısı olan California Blue Shield, üyelerinin kişisel verilerinin yanlış yapılandırma veya içeriden gelen tehditten kaynaklanabilecek bir ihlalden ödün verildiğini ortaya koyduktan sonra bu hafta manşetlerde bulunuyor. Google Reklam Platformu tarafından hileli olarak erişilen hassas verilerle 4,7 milyondan fazla üye etkilenmektedir.
Siber güvenlik içermeyenleri tarafından elde edilen kayıtlara göre, Blue Shield başlangıçta sadece anonimleştirilmiş verileri araştırma ve geliştirme amacıyla Google Analytics ile paylaşmayı amaçlamıştır. Bu düzenleme, şirketin hizmetleri hakkında bilgi edinmesine ve kullanıcı deneyimini geliştirmesine yardımcı olmak için tasarlanmıştır. Bununla birlikte, teknik bir yanlış yapılandırma veya içeriden gelen bir tehditten, beklenmedik bir hata, Google’ın reklam platformunda özel üye verilerine yetkisiz erişim elde eden reklam platformuna katıldı. Bu, internet devinin, son derece spesifik, kişiselleştirilmiş reklamlara sahip etkilenen bireyleri hedeflemesine izin verebilirdi.
İhlal bir dizi hassas bilgi ortaya koydu, ancak neyse ki durum çok daha kötü olabilirdi. Blue Shield’ın ilk araştırmaları, bazı kişisel verilere erişilse de, sosyal güvenlik numaraları, ehliyet detayları, bankacılık bilgileri ve kredi kartı numaraları gibi kritik kişisel tanımlanabilir bilgilerin (PII) tehlikeye atılmadığını doğrulamaktadır. Bunun nedeni, bu tür verilerin ayrı bir sunucuda güvenli bir şekilde saklanması ve ihlalin bir parçası olmamasıdır.
Ancak, erişilen veriler hala endişeleri artırmak için yeterli hassas ayrıntı içermektedir. Geri ihlal edilen bilgiler şunları içerir:
A.) Sigorta numaraları ve kapsam türleri gibi sigorta detayları,
B.) Üyenin şehri, posta kodu ve aile boyutu dahil demografik veriler
C.) Profilleme veya hatta ayrımcı amaçlar için kullanılabilecek tıbbi geçmiş.
Bu detaylar, tam PII verileri kadar tehlikeli olmasa da, yine de Blue Shield üyelerinin gizliliğini ihlal edecek şekilde kullanılabilir. Organizasyon o zamandan beri üyeleri olası kimlik hırsızlığı girişimlerine karşı uyanık kalmaları ve bu ihlalden kaynaklanabilecek kimlik avı planları veya sahtekarlık konusunda temkinli olmaları konusunda uyardı.
İlginç bir şekilde, bu Blue Shield’ın ilk kez büyük bir siber güvenlik olayıyla karşılaşmadığı. Tam bir yıl önce şirket, Blue Shield dahil sağlık hizmeti sağlayıcılarına yazılım ve hizmet sağlayan bir şirket olan Connexure (eski adıyla genç danışmanlık) ile bağlantılı bir Blacksuit fidye yazılımı saldırısı tarafından hedef alındı. Saldırıların doğası – zamanlamadaki benzerlik ile birlikte – bu olayların sağlık sektöründeki güvenlik açıklarından yararlanmak için daha büyük ve koordineli bir çabanın bir parçası olup olmadığı konusunda soruları gündeme getirmektedir.
İhlalin ciddiyetine ve üyeleri için potansiyel risklere rağmen, Blue Shield henüz etkilenenlere herhangi bir kimlik hırsızlığı koruma hizmeti sunmamıştır. Bu karar, gizlilik savunucularından eleştiri almıştır, çünkü bu koruma genellikle bu ölçeğin veri ihlallerini takiben gerekli bir önlem olarak kabul edilir.
Şimdilik, Blue Shield üyelerini herhangi bir kötüye kullanım belirtisi için uyanık kalmaya ve finansal hesaplarını ve sağlık kayıtlarını izlemeye çağırıyor. Bununla birlikte, şirket neden daha fazla koruyucu önlemleri genişletmemeyi seçtiğini henüz açıklamamış ve birçok üyesi yanıtının yeterliliğini sorgulamaya bırakmıştır.
Siber güvenlik olayları çeşitli endüstrilerde yükselmeye devam ettikçe, bu ihlal, özellikle yüksek düzeyde düzenlenmiş sağlık alanında, hassas verilerin korunmasının önemini açık bir hatırlatma görevi görür. Bulut hizmetlerine, analizlere ve reklam platformlarına artan güven ile Blue Shield gibi kuruluşlar, veri işleme uygulamalarının hem güvenli hem de uyumlu olmasını sağlamak için sağlam güvenlik önlemlerine yatırım yapmalıdır.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!