Yönetim ve Risk Yönetimi , Mevzuat ve Dava , Yama Yönetimi
NationsBenefits, Aetna ve Diğerleri Aleyhinde Açılan Çeşitli Toplu Davalar
Marianne Kolbasuk McGee (SağlıkBilgisi) •
22 Mayıs 2023
Bilgisayar korsanlarının Fortra’nın GoAnywhere güvenli dosya aktarımındaki bir güvenlik açığını kullanması ve bunun sonucunda 3 milyondan fazla kişiyi etkileyen bir sağlık verisi ihlali nedeniyle federal mahkemelerde önerilen toplu davalar birikiyor.
Ayrıca bakınız: Proaktif Risk Yönetimi ile Siber Güvenliği Dönüştürün
Florida üçüncü taraf menfaatleri yöneticisi NationsBenefits Holdings Nisan ayında, bilgisayar korsanlarının aylar önce yaygın olarak kullanılan kusuru kullanarak kişisel bilgilere eriştiklerini açıkladı (bkz:: Clop GoAnywhere Saldırıları Şu Anda 130 Kuruluşu Vurdu).
Pazartesi günü itibariyle davacılar, altısı Florida’nın Güney Bölgesi için ABD Bölge Mahkemesinde olmak üzere, NationsBenefits aleyhine GoAnywhere ile ilgili en az yedi dava açtı.
Biri Florida’da ve biri Kuzey Carolina’da olmak üzere, NationsBenefits’e karşı önerilen toplu davalardan en az ikisi aynı zamanda sağlık sigortası şirketi Aetna’yı da müşterek davalı olarak gösteriyor.
Aetna, kendisi adına bir sağlık planı üyesi ve benzer durumda olduğu iddia edilen yaklaşık 3 milyon kişi tarafından geçen hafta ABD Connecticut Bölgesi için ABD Bölge Mahkemesinde açılan, GoAnywhere bilgisayar korsanlığını içeren üçüncü önerilen toplu dava davasında tek sanık olarak seçildi.
Davaların tümü, ihmal ve mütevelli görevinin ihlalinden devlet tüketici koruma yasalarının ihlallerine kadar benzer iddialarda bulunuyor.
Şirketlerin benzer olayları önlemek için güvenlik önlemleri almalarını emretmek için fiili ve cezai zararların yanı sıra ihtiyati tedbir de dahil olmak üzere tazminat talep ediyorlar.
Aetna’nın yanı sıra, başka bir NationsBenefits müşterisi olan Santa Clara Family Health Plan, Mart ayında HHS Sivil Haklar Ofisi’ne, aynı zamanda yönetici NationsBenefits ve Fortra uzlaşmasını da içeren 277.000 kişiyi etkileyen bir bilgisayar korsanlığı olayını bildirdi.
Santa Clara Family Health Plan, Florida’da açılan altı federal davadan en az birinde NationsBenefits ile birlikte davalı olarak da adlandırılır (bkz:: Fortra GoAnywhere ile İlgili Sağlık Veri İhlali Sayısını Yükseliyor).
NationsBenefits, Information Security Media Group’un davalarla ilgili yorum talebine hemen yanıt vermedi. Santa Clara Aile Sağlığı Planı, bekleyen dava hakkında yorum yapmadığını söyledi.
Aetna, ISMG’ye yaptığı açıklamada, “üyelerimizin bilgilerinin gizliliğini ve güvenliğini korumaktan daha önemli bir şey yok” ve şirketin bu davaya karşı kendisini savunacağını söyledi.
Blue Shield of California ve sanal terapi sağlayıcısı Brightline dahil olmak üzere ek sağlık sektörü kuruluşları ve sigorta şirketleri de son aylarda ve haftalarda Fortra ile ilgili ihlaller bildirdiler (bkz: GoAnywhere Kusurundan Etkilenen Sağlık Planı, Akıl Sağlığı Sağlayıcısı).
İhlal Ayrıntıları
GoAnywhere MFT’deki güvenlik açığı, saldırganların güvenlik açığından yararlanmasına ve önce yönetim konsolunda kimlik doğrulaması yapmak zorunda kalmadan kodu uzaktan yürütmesine olanak tanıyan bir kimlik doğrulama öncesi uzaktan kod yürütme hatasıdır.
Saldırının başarılı olması için yönetim konsolunun internete açık olması gerekir. Açıktan yararlanmaya yönelik bilinen ilk saldırılar 25 Ocak’ta başladı. 1 Şubat’ta Fortra bir güvenlik uyarısı ve hafifletme talimatları yayınladı. 7 Şubat’ta, kusuru gideren GoAnywhere MFT’nin 7.1.2 sürümünü yayınladı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı ve diğer federal kurumlar, GoAnywhere MFT kullanıcılarını yazılımlarına derhal yama eklemeye çağırdı.