‘Truepill’ olarak faaliyet gösteren Postmeds, alıcılara tehdit aktörlerinin hassas kişisel bilgilerine eriştiği konusunda bilgi veren bir veri ihlali bildirimi gönderiyor.
Truepill, ABD’deki 50 eyaletin tamamındaki doğrudan tüketiciye (D2C) markalar, dijital sağlık şirketleri ve diğer sağlık kuruluşları için sipariş gerçekleştirme ve teslimat hizmetleri için API’leri kullanan, B2B odaklı bir eczane platformudur.
Etkilenen bireylerin sayısıyla ilgili olarak, ABD Sağlık ve İnsani Hizmetler Dairesi Sivil Haklar ihlal portalına göre, olay olayı 2.364.359 kişiyi etkiliyor.
Mektupta, şirketin 31 Ağustos 2023’te izinsiz ağ erişimi tespit ettiği belirtiliyor. Olayla ilgili yapılan incelemede saldırganların bir gün önce erişim elde ettiği ortaya çıktı.
Tehdit aktörlerinin erişmiş olabileceği veri türleri şunlardır:
- Ad Soyad
- İlaç türü
- Demografik bilgiler
- Reçeteyi yazan doktorun adı
Yukarıdaki bilgiler kimlik avı ve sosyal mühendislik saldırıları riskini artırır. Bildirimde Sosyal Güvenlik numaralarının (SSN’ler) açığa çıkan veri setinde yer almadığı açıklığa kavuşturuluyor.
Veri ihlali bildirimlerini alan kişilerden bazıları, şirketin adını hiç duymadıklarını ve verilerinin Truepill’e nasıl ulaştığından emin olmadıklarını iddia ederek biraz şaşkına döndü.
Yayınlananlar yasal ateş altında
Olayın geniş kapsamlı etkisi, Postmeds’in sektör yönergeleriyle uyumlu daha iyi bir güvenlik duruşu sürdürmesi durumunda ihlalin önlenebileceğini öne süren çok sayıda toplu davanın ülke çapında hazırlanması nedeniyle hukuki sonuçlara yol açabilir.
Özellikle Postmeds, sunucularında saklanan hassas sağlık hizmeti bilgilerini şifrelemediği için suçlanıyor, bu da veri ihlalinin etkisini önemli ölçüde azaltacaktır.
Firmanın etkilenen kişileri bilgilendirmesi iki aydan fazla sürdüğü için tüketicilere bildirimde yaşanan gecikme de olası davaların bir parçası olabilir.
Bu süre zarfında, etkilenen kişilerden bazıları Venmo hesaplarında şüpheli etkinlik gözlemledi ve daha sonra kişisel verilerinin karanlık ağda yayınlandığını doğruladı.
Bildirimlerin içeriği de çok belirsiz olduğu, davetsiz misafirlerin firmanın sistemlerine nasıl erişim sağladığına dair ayrıntılar vermediği ve alıcılara yönelik herhangi bir koruma kılavuzu ve kimlik hırsızlığı koruma hizmeti kapsamından yoksun olduğu için eleştiriliyor.
Postmed’e karşı dava açan hukuk firmalarından biri, sızdırılan verilerin aynı zamanda firmanın duyurusunda belirtilmeyen adresler, doğum tarihleri, tıbbi tedavi bilgileri, teşhis bilgileri ve sağlık sigortası bilgilerini de içerdiğini bildirdi.