Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
2022 Fidye Yazılımı Saldırısı ve Veri Hırsızlığı 3,4 Milyon Hastayı Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
17 Ekim 2025
Kaliforniya merkezli dokuz bağlı doktor muayenehanesinden oluşan bir ağ, Aralık 2022’de 3,4 milyondan fazla hastayı etkileyen fidye yazılımı ve veri hırsızlığı saldırısını içeren birleştirilmiş toplu dava davasını çözmek için yaklaşık 50 milyon dolar ödemeyi kabul etti. Davacılar, verilerinin darkweb’e sızdırıldığını iddia etti.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Mahkeme belgelerine göre, anlaşmanın bir parçası olan doktor muayenehanelerinin tümü, ABD’de doktorların sahip olduğu ve işlettiği en büyük sağlık ağlarından biri olan Kaliforniya merkezli Miras Sağlayıcı Ağı Marina Del Rey’in bağlı kuruluşlarıdır.
Bu uygulamalar arasında Regal Medical Group; Lakeside Tıp Organizasyonu; Büyük Covina Tıp Grubu; Orange County Medical Group’a Bağlı Doktorlar; Arizona Sağlık Avantajı; AZPC Klinikleri; Glendale Toplum Cerrahisi Merkezi; Pasifik Aile Bakımevi; ve Valley’in En İyi Darülaceze.
49,9 milyon dolarlık anlaşma, her sınıf üyesine üç yıllık ücretsiz kimlik ve hırsızlık izleme olanağı sağlıyor.
Anlaşma aynı zamanda, hak talebinde bulunan her uygun sınıf üyesine, belgelenen dolandırıcılık, cepten yapılan harcamalar ve veri ihlaline ilişkin oldukça izlenebilir kayıplar için 10.000 ABD Dolarına kadar nakit ödeme sağlar ve bu tutar, uzlaşma fonunun toplamı 2 milyon ABD Dolarını geçmeyecektir.
Anlaşma aynı zamanda sınıf üyelerine, veri ihlaliyle ilgili belgelenen süre için 210 ABD dolarına kadar veya saat başına 30 ABD dolarına kadar değeri olan yedi saate kadar nakit ödeme sağlıyor.
Ayrıca yedi sınıf temsilcisinin her birine 7.500 dolarlık hizmet ödülü verilecek. Davacıları ve grup üyelerini temsil eden avukatlar, ücret ve masraflar için yaklaşık 16,7 milyon dolar talep ediyor.
Ayrıca her sınıf üyesine, diğer tüm ödemeler ve masraflar ödendikten sonra kalan net ödeme fonuna dayalı olarak eşit oranda nakit ödeme yapılacaktır.
Mahkemenin anlaşmayı onaylaması için son duruşmanın 28 Ocak 2026’da yapılması planlanıyor.
İhlal Ayrıntıları
Regal Medical hack olayı, 2023 yılında ABD Sağlık ve İnsani Hizmetler Bakanlığı’na bildirilen 746 büyük sağlık verisi ihlali arasında 10’uncu sırada yer aldı.
Regal Medical ve diğer bazı bağlı uygulamalar tarafından Şubat 2023’te yayınlanan bir ihlal bildiriminde, sağlayıcı ağının, ağ sunucularına erişimde “zorluk” fark ettikten sonra 8 Aralık 2022’de olaydan haberdar olduğu belirtildi (bkz.: California Medical Group’un Fidye Yazılımı İhlali 3,3 Milyonu Etkiledi).
“Kapsamlı incelemenin ardından bazı sunucularımızda kötü amaçlı yazılım tespit edildi ve daha sonra bunun, tehdit aktörünün sistemlerimizdeki belirli verilere erişmesine ve bu verileri sızdırmasına yol açtığını öğrendik.”
Doktor ağı, sistemlerine erişimi yeniden sağlamak ve etkilenen verileri analiz etmek için üçüncü taraf satıcılarla çalıştığını söyledi.
Olayda ele geçirilen bilgiler arasında potansiyel olarak hastanın adı, Sosyal Güvenlik numarası, doğum tarihi, adresi, teşhis ve tedavisi, laboratuvar test sonuçları, reçete verileri, radyoloji raporları, sağlık planı üye numarası ve telefon numarası yer alıyor.
Dava İddiaları
Davacılar, diğer iddiaların yanı sıra, sanıkların “bu hassas bilgileri yeterince koruyamadığını, bunun da zarara ve kimlik hırsızlığı riskine yol açtığını” iddia etti.
25’ten fazla davayı içeren birleştirilmiş önerilen toplu dava davasında ayrıca davacı ve grup üyesi bilgilerinin internette ve darkweb’de kamuya açıklandığı ve bunun “sonuç olarak yaralanma, hasar ve kayıp” oluşturmaya devam edeceğini iddia ettikleri iddia edildi.
Regal Medical ve davadaki diğer tüm bağlı doktor muayenehanesi sanıkları, anlaşma kapsamındaki “her türlü yanlış eylemi” reddediyor.
Regal Medical, Bilgi Güvenliği Medya Grubu’nun anlaşmaya ilişkin yorum yapma ve olayda şüphelenilen siber suç grubunun kimliği ve doktor muayenehanesi ağının fidye ödeyip ödemediği de dahil olmak üzere veri ihlaliyle ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Regal Medical anlaşması, son haftalarda büyük sağlık verileri ihlallerine yol açan bilgisayar korsanlığı olaylarını içeren çok sayıda toplu dava arasında yer alıyor.
Geçtiğimiz hafta, Oklahoma sağlık hizmetleri ağı Integris Health, 2023’te 2,4 milyon insanı etkileyen bir veri hırsızlığı saldırısıyla ilgili toplu dava davasını çözmek için 30 milyon dolar ödemeyi kabul etti. Reşit olmayanlar da dahil olmak üzere bazı hastalar, verilerini karanlık ağda satmakla tehdit eden siber suçlulardan doğrudan şantaj talepleri aldı (bkz: Oklahoma Sağlık Sistemi Hack Davalarını Çözmek İçin 30 Milyon Dolar Ödeyecek).
Ayrıca, Nebraska merkezli bir gelir döngüsü yönetimi şirketi olan ALN Medical Management ve Amerika Birleşik Devletleri’nde kan plazması toplama merkezleri bulunan İsviçre merkezli bir ilaç üreticisi olan Octapharma Plasma, yakın zamanda kendi 2024 bilgisayar korsanlığı olaylarını içeren toplu davaları çözmek için sırasıyla 4 milyon dolar ve 2,55 milyon dolar ödemek üzere satın aldı (bkz: ALN ve Octapharma Plasma İhlal Davalarını Çözmeyi Kabul Etti).
Bazı hukuk uzmanları, büyük veri güvenliği olaylarının ardından açılan ve multimilyon dolarlık uzlaşmalarla sonuçlanan toplu hukuk davasının, pahalı para cezaları ve düzeltici eylemlerle sonuçlanma olasılığı daha düşük olan federal düzenleyici incelemeyle karşılaştırıldığında, sağlık sektörü kuruluşlarının karşılaştığı çok daha muhtemel bir senaryo olduğunu iddia ediyor.