Dolandırıcılık Yönetimi ve Siber Saldırı, Sağlık, Olay ve İhlal Yanıtı
Co., çok daha düşük kurban tahminlerine dayanarak birkaç dava ile karşı karşıya
Marianne Kolbasuk McGee (Healthinfosec) •
28 Nisan 2025
Geçen yaz bildirilen ilk tahminlerden önemli bir sıçrama olan Workee Faydalı Yardım Yöneticisi Verisource Hizmetlerinde Hacking olayından etkilenen bilinen bireylerin sayısı şu anda 4 milyon olarak duruyor.
Ayrıca bakınız: Fidye Yazılımı ve Gasp Saldırılarını Azaltma Uzman Kılavuzu
Bilgisayar korsanları, Texas Company’nin hizmetlerini kullanan, fayda kaydı, idari ve faturalandırma hizmetleri ve aynı zamanda insan kaynakları dış kaynak kullanımı içeren müşterilerin çalışanları ve bağımlıları ile ilgili bilgileri çaldı.
Şirket başlangıçta 4 Mayıs 2024 ihlal raporunda, hack’in 1.382 kişiyi etkilediğini açıkladı. Cuma günü yapılan güncellenmiş bir rapor, sayıyı 4 milyona düzeltti.
VSI, Bilgi Güvenliği Medya Grubu’nun, etkilenen müşteri sayısı ve etkilenen bireylerin sayısının neden önemli ölçüde arttığını da dahil olmak üzere, hack olayı hakkında ek ayrıntı talebine hemen yanıt vermedi.
Kuruluşların ilk ihlal raporlarını düzenleyicilere yalnızca daha sonra sunmaları ve aylar sonra güncellenmiş bir dosyalamada etkilenen bireylerin çetesini önemli ölçüde artırması olağandışı değildir. Bazı HIPAA kapsamlı kuruluşlar, etkilenen 500 veya 501 kişiden oluşan yer tutucu tahminleri ile HHS OCR’ye ihlal raporları gönderir ve milyonlarca insanın gerçekten etkilendiğini gösteren güncellenmiş raporlar sunar.
Şirket, VSI’nın ihlali ilk kez bildirmesinden sadece haftalar sonra, 2024’te kendilerine karşı açılan en az dört federal sınıf eylem davası ile karşı karşıya. Gözden geçirilmiş ihlal ifşası da dava sayısını artırabilir, diğer birkaç hukuk firması da potansiyel dava ihlalini araştırdıklarını açıklamaktadır.
Şimdiye kadar açılan davalar, VSI’nin davacı ve sınıf üyelerinin bilgilerini korumamada ihmalkar olduğunu iddia etti. Davalar, şirketin veri güvenliği uygulamalarını güçlendirmesini gerektiren finansal hasarlar ve ihtiyati tedbir talep etmektedir.
VSI, güncellenmiş ihlal bildiriminde, 28 Şubat 2024’te şirketin ağ ortamında olağandışı faaliyetlerin farkına vardığını söyledi.
12 Ağustos 2024’te sona eren bir soruşturma “belirli kişisel bilgilerin dahil olduğunu doğruladı. Bu incelemeye dayanarak, 20 Ağustos 2024’ten itibaren bir dizi bildirim yayınlandı.”
VSI, müşteri şirketlerine de haber verdiğini ve bu olaydan etkilenen ek kişileri bilgilendirmek için gerekli bilgileri toplamak için onlarla birlikte çalışmaya devam ettiğini söyledi. VSI, “Bu süreç 17 Nisan 2025’te tamamlandı. Daha sonra olayın etkilenen bireylerini olabildiğince çabuk bildirmek için adımlar attık.” Dedi.
Etkilenen bilgiler bireyler arasında değişir, ancak isimleri, adresleri, doğum tarihlerini, cinsiyeti ve sosyal güvenlik numaralarını içerebilir.