Fransız sağlık hizmetleri şirketi Viamedis, ülkedeki poliçe sahiplerinin ve sağlık çalışanlarının verilerini açığa çıkaran bir siber saldırıya uğradı.
Şirketin web sitesi bu yazının yazıldığı sırada çevrimdışı olmasına rağmen, LinkedIn’de veri ihlaline ilişkin uyarıda bulunan bir duyuru yayınlandı.
Saldırıda açığa çıkan veriler arasında, yararlanıcının medeni durumu, doğum tarihi, sosyal güvenlik numarası, sağlık sigortası şirketinin adı ve üçüncü tarafların ödemesine açık teminatlar yer alıyor.
Şirket, ihlal edilen sistemlerin insanların banka bilgilerini, posta bilgilerini, telefon numaralarını ve e-posta adreslerini saklamadığını açıkladı.
Viamedis, sağlık uzmanlarına hangi verilerin açığa çıktığı konusunda farklı bildirimler göndereceklerini söylüyor.
Viamedis, etkilenen sağlık kuruluşlarını bilgilendirerek savcılığa şikayette bulundu ve yetkililere (CNIL, ANSSI) bildirimde bulundu. Şu anda şirket siber saldırının etkisini araştırmaya devam ediyor.
Viamedis, ihlalin boyutuna ilişkin olarak maruz kalan kişi sayısını belirtmedi ancak 20 milyon sigortalıyı kapsayan 84 sağlık kuruluşunun ödemelerini yönettiği biliniyor.
Firmanın Genel Müdürü Christophe Cande, Agence France-Presse’ye (AFP) ihlalin kapsamını belirlemek için bir soruşturmanın sürdüğünü söyledi.
“Bugüne kadar etkilenen sigortalı bireylerin sayısını bilmiyoruz; hâlâ soruşturma sürecindeyiz.” – Cande (GD Viamedis)
Cande ayrıca siber saldırının fidye yazılımı olmadığını da açıkladı. Bunun yerine, bir çalışana yapılan başarılı bir kimlik avı saldırısının, tehdit aktörünün sistemlerini ihlal etmesine izin verdiğini söyledi.
Viamedis ile çalışan kuruluşlardan biri olan Malakoff Humanis, web sitesinde Viamedis veri ihlalinin dolaylı etkisini doğrulayan bir bildirim yayınladı.
Şirket ayrıca etkilenen müşterilere siber saldırı ve hizmetlerin kesintisi konusunda bilgi vermek için veri ihlali bildirimleri gönderiyor.
Mesajları, Viamedis bildiriminde açıklanan bilgileri yineliyor ve müşterilere, platformlarda saklanan hiçbir bankacılık, tıbbi veya iletişim bilgilerinin ele geçirilmediğine dair güvence veriyor.
Malakoff Humanis, kullanıcı hesaplarına erişimin ve geri ödeme taleplerinin mevcut olduğunu söylüyor. Ancak Viamedis platformunun geçici olarak kesilmesinin bazı sağlık hizmetlerinin sağlanmasını etkilemesi bekleniyor.
Carte Blanche Partenaires, Itelis, Kalixia, Santéclair ve Audiens dahil olmak üzere Viamedis’i kullanan diğer hizmet sağlayıcıların da benzer durumlarla karşılaşması bekleniyor.
Fransa yerel medyası, siber saldırının tek hedefinin Viamedis olmadığını bildirdi. Ayrıca sağlık kuruluşlarının ödeme işlemcisi olan “Almerys” adlı şirketin de hedef alındığı bildirildi.