Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Spesifik, Olay ve İhlal Müdahalesi
MediSecure Veri Hırsızlığı Avustralya Nüfusunun Neredeyse Yarısını Etkiliyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
22 Temmuz 2024
Nisan ayında e-reçete firması MediSecure’a yönelik gerçekleştirilen fidye yazılımı saldırısında, bilgisayar korsanları Avustralya nüfusunun yaklaşık yarısına ait hassas bilgileri çaldı. Şirket, olayın “önemli” müdahale maliyetlerini karşılayamayacağını söylüyor.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Avustralya’nın başlıca siber güvenlik kurumu Cuma günü yaptığı açıklamada, Nisan ayında gerçekleşen MediSecure saldırısında 12,9 milyon kişinin kişisel ve sağlık bilgilerinin potansiyel olarak tehlikeye atıldığını söyledi (bkz: Avustralya Büyük Ölçekli Tıbbi Fatura Saldırısını Araştırıyor). Avustralya’nın nüfusu yaklaşık 27 milyondur.
Avustralya’nın The Age gazetesi, Mayıs ayında bir bilgisayar korsanının tüm veri setini Rus bir bilgisayar korsanlığı forumunda 50.000 dolara satışa çıkardığını bildirmişti.
MediSecure saldırısından etkilenen bilgiler, MediSecure tarafından yaklaşık olarak Mart 2019’dan Kasım 2023’e kadar dağıtılan reçetelerle ilgilidir.
Şirket Cuma günü Avustralya hükümetinden ihlal bildirimi masraflarını karşılamak için yardım istediğini söyledi ancak reddedildi – bu da şirketin tasfiyesini duyurmasına neden oldu. Olayla ilgili çalışmalarda yardımcı olan danışmanlık firması FTI Consulting’in Avustralya merkezli iki yetkilisi, Haziran ayının başlarında şirket için “gönüllü yöneticiler” ve “operasyon tasfiye memurları” olarak atandı.
Şirket, “MediSecure’un sınırlı finansal kaynakları göz önüne alındığında atamalar gerekliydi” dedi. MediSecure, ulusal çapta faaliyet gösteren iki reçeteli ilaç dağıtım hizmetinden biriydi. Mayıs 2023’te Fred IT Group’un eRx Script Exchange’ine rakip olmak için Canberra hükümetiyle ilaç dağıtımı sözleşmesini kaybetti. Avustralya hükümeti, fidye yazılımı olayının diğer şirketi etkilemediğini söyledi.
MediSecure, Avustralya İçişleri Bakanlığı ve FTI Consulting, Information Security Media Group’un olayla ilgili müdahale maliyeti de dahil olmak üzere ek ayrıntılara ilişkin taleplerine hemen yanıt vermedi.
Şirketten Cuma günü yapılan açıklamada, saldırıya uğrayan MediSecure veri tabanında hastaların kişisel ve sağlık bilgilerinin yanı sıra sağlık hizmeti sağlayıcılarının bilgilerinin de bulunduğu belirtildi.
Etkilenen bilgilerin geniş yelpazesi arasında isimler, doğum tarihleri, adresler, telefon numaraları, e-posta adresleri ve reçeteli ilaç bilgileri (ilacın adı, gücü, miktarı, tekrar doldurulması ve reçete nedeni dahil) yer alıyor.
Tehlikeye atılan veriler arasında hükümet tanımlayıcıları da bulunabilir. MediSecure, “Etkilenen bilgi türleri, Avustralyalıların kimlik avı, kimlikle ilgili suç ve siber dolandırıcılık faaliyetlerine hedef olma olasılığını artırabilir” dedi.
Saldırı Detayları
MediSecure, 10 Nisan’da bir veritabanı sunucusunun şüpheli fidye yazılımı tarafından şifrelendiğini keşfettiğinde olaydan haberdar olduğunu söyledi. Bir soruşturma, sunucuda depolanan 6,5 terabayt verinin kötü niyetli bir üçüncü taraf aktör tarafından sızdırılmış olabileceğini belirledi, ancak şirket “şifrelenmiş sunucunun özellikle erişilen bilgileri belirlemek için incelenemediğini” söyledi.
Şirket, etkilenen sunucunun muhtemelen çok sayıda kişinin kişisel ve sağlık bilgilerini içerdiğini belirterek, Avustralya Bilgi Komiserliği Ofisi’ni bilgilendirdiğini ve Ulusal Siber Güvenlik Ofisi, Sağlık ve Yaşlı Bakımı Bakanlığı ve diğer çeşitli kurumlarla iletişime geçtiğini söyledi.
BT uzmanlarının yardımıyla MediSecure, 17 Mayıs’ta etkilenen sunucunun tam bir yedeğini geri yükleyebildi ve etkilenen bilgileri araştırmak için hemen adımlar attı. MediSecure, “Ancak verilerin niteliği ve hacmi, adli analizi çok karmaşık ve zaman alıcı hale getirdi” dedi ve hükümet kurumlarıyla iş birliği yapan üçüncü taraf bir firmadaki siber ve adli uzmanlardan ek destek gerektirdi.