Hizmet olarak sağlık yazılımı (SaaS) şirketi Phreesia, 910.000’den fazla kişiye, Ekim 2023’te satın alınan yan kuruluşu ConnectOnCall’ın Mayıs ayı ihlali nedeniyle kişisel ve sağlık verilerinin açığa çıktığı konusunda bildirimde bulunuyor.
ConnectOnCall, sağlık hizmeti sağlayıcıları için otomatik hasta çağrı takibi özelliğine sahip bir telesağlık platformu ve mesai saatleri dışında çağrı yanıtlama hizmetidir.
Şirket, “12 Mayıs 2024’te ConnectOnCall, ConnectOnCall’ı etkileyen bir sorunu öğrendi ve hemen bir soruşturma başlattı ve ürünün güvenliğini sağlamak ve ortamının genel güvenliğini sağlamak için adımlar attı.” dedi.
“ConnectOnCall’ın araştırması, 16 Şubat 2024 ile 12 Mayıs 2024 arasında bilinmeyen bir üçüncü tarafın ConnectOnCall’a ve sağlayıcı-hasta iletişimindeki belirli bilgiler de dahil olmak üzere uygulama içindeki belirli verilere erişimi olduğunu ortaya çıkardı.”
İhlali keşfettikten sonra Phreesia, olayı federal kolluk kuvvetlerine bildirdi ve olayın niteliğini ve etkisini araştırmak için dışarıdan siber güvenlik uzmanları tuttu.
Phreesia ayrıca ConnectOnCall’ı çevrimdışına aldı ve o zamandan beri sistemleri yeni ve daha güvenli bir ortama geri yüklemek için çalışıyor.
Açıklamada etkilenen toplam kişi sayısı yer almasa da ConnectOnCall, ABD Sağlık ve İnsani Hizmetler Bakanlığı’na ihlalin 914.138 hastanın korunan sağlık bilgilerini etkilediğini söyledi.
Neredeyse üç ay süren ihlal sırasında açığa çıkan kişisel bilgiler arasında, hastalar ile sağlık hizmeti sağlayıcıları arasındaki iletişimde paylaşılan isimler ve telefon numaraları gibi bilgiler yer alıyor.
Bu aynı zamanda tıbbi kayıt numaralarını, doğum tarihlerini, sağlık koşulları, tedaviler veya reçetelerle ilgili bilgileri ve az sayıda vakada etkilenen bireylerin Sosyal Güvenlik Numaralarını da içerebilir.
Phreesia, resmi web sitesindeki ayrı bir açıklamada, “ConnectOnCall hizmeti, hasta kabul platformumuz da dahil olmak üzere Phreesia’nın diğer hizmetlerinden ayrıdır. Bugüne kadar yaptığımız incelemeye göre, diğer hizmetlerimizin etkilendiğine dair hiçbir kanıt yok.” dedi.
“Bu hizmetin müşterilerimizin işleri açısından önemini anlıyoruz ve ConnectOnCall hizmetini mümkün olan en kısa sürede geri yüklemek için çalışıyoruz.”
Phreesia ayrıca, şirketin ifşa edilen kişisel bilgilerin kötüye kullanıldığına dair hiçbir kanıtı olmamasına rağmen, potansiyel olarak etkilenen kişilere kimlik hırsızlığı veya dolandırıcılık şüphesini sigorta şirketlerine, sağlık planlarına veya finans kuruluşlarına bildirmelerini tavsiye etti.