Finans ve Bankacılık, Sahtekarlık Yönetimi ve Siber Suç, Sahtekarlık Risk Yönetimi
Mart 2024’te tespit edilen olay, tıbbi faturalandırma firmalarına karşı başka bir saldırı
Marianne Kolbasuk McGee (Healthinfosec) •
28 Mart 2025
Sağlık firmalarına gelir döngüsü yönetimi ve faturalandırma hizmetleri sunan Nebraska merkezli bir firma, on binlerce kişiye ve kişisel, sağlık ve finansal bilgilerinin Mart 2024 hack’inde tehlikeye atıldığını açıklamayan sayıda şirketi bilgilendiriyor.
Ayrıca bakınız: Ödeme tarama zorluklarıyla mücadele etmek
2023 yılında Maryland merkezli Health Prime tarafından satın alınan ALN Medical Management, ilk olarak Mayıs 2024’te federal düzenleyicilere ihlali, 501 kişiyi etkileyen bir hack olayı olarak bildirdi – bir yer tutucu tahmini. Cuma günü, ABD Sağlık ve İnsan Hizmetleri Bakanlığı HIPAA Breaach Raporlama Aracı Web Sitesinin büyük sağlık veri ihlallerini listeleyen ALN’den güncellenmiş bir rapor içermediği görülmüştür.
Ancak son günlerde ALN, birkaç devlet avukatı ile ihlal raporları sundu. Bu, 24 Mart’ta Teksas düzenleyicilerine açılan bir raporu da içeriyor ve şirketin hackinin 127.113 Teksaslıyı etkilediğini söyledi.
ALN, California ve New Hampshire da dahil olmak üzere şu ana kadar başka eyaletlere başvuran ihlal raporları, bu eyaletlerde etkilenen kişi sayısı için rakamlar içermiyor.
Ancak bazı uzmanlar, olaydan etkilenen toplam insan sayısının – ANL’nin hizmetlerini kullanan müşterilerin – çok büyük olabileceğinden şüpheleniyor.
Güvenlik firması Lumifi Cyber Field CISO, “Aln Medical, hekimlere ve kliniklere gelir döngüsü yönetimi, tıbbi faturalandırma, koleksiyonlar ve BT hizmetleri sunuyor. Hastaların finansal ve tıbbi özelliklerini detaylandıran kayıtları yönetiyorlar ve ayrıca müşterilerinin ağlarına erişebiliyorlar.” Dedi.
Diyerek şöyle devam etti: “Tehdit oyuncusunun ALN ağında olduğu süreye bağlı olarak, bu ağlara erişmek için kullanılan kimlik bilgileri hakkında bilgi edinmiş olabilirler. Doğruluk, bu, sağlık kuruluşlarının geniş bir şekilde hırsızlığı ve zorlama için sürekli erişim ve olasılıklar sağlayacaktır.”
Eyalet düzenleyicilerine gönderilen ihlal raporları, olaydan etkilenen bilgilerin isimleri, sosyal güvenlik numaralarını, ehliyet numaralarını, pasaport veya eyalet kimlik kartları gibi devlet tarafından verilen kimlik numaralarını, hesap numaraları, kredi veya banka kartı numaraları, tıbbi bilgiler ve sağlık sigortası bilgilerini içerdiğini göstermektedir.
Aln, ihlal bildiriminde, Mart 2024’te, isimsiz bir üçüncü taraf hizmet sağlayıcısı tarafından barındırılan belirli sistemlerle ilgili şüpheli etkinlik belirlediğini söyledi.
Aln, “Bu aktiviteyi öğrendikten sonra, sistemlerimizin güvenliğini sağlamak için derhal adımlar attık, etkilenen ortamı izole ettik ve faaliyetin doğasını ve kapsamını belirlemek için bir soruşturma başlattık.” Dedi.
ANL’nin soruşturması, üçüncü taraf barındırılan ortamındaki bazı dosyalara ve klasörlere 18 Mart 2024 ve 24 Mart 2024 arasında yetkisiz bir aktör tarafından erişildiğini veya alındığını buldu. “Bu olayın iç ALN sistemlerini etkilemediğini söyledi.”
Davalar başlıyor
Cuma itibariyle, ALN zaten ihlalle ilgili en az üç federal sınıf eylem davası ile karşı karşıya kalıyordu – ve diğer bazı sınıf eylem hukuku firmaları da son günlerde de potansiyel dava için ALN olayını araştırdıklarını belirten kamu bildirimleri yayınlamıştı.
Kendisi ve benzer şekilde konumlandırılmış diğerleri adına Aln – Davacı Cameron Reed tarafından zaten açılan şikayetlerden biri, ihmal, sözleşme ihlali ve diğer iddialar da dahil olmak üzere ALN tarafından çeşitli başarısızlıklar iddia ediyor. Reed’in davası, şimdiye kadar açılan diğerleri gibi, finansal hasarlar da dahil olmak üzere, ALN’nin veri güvenliği uygulamalarını iyileştirmesi için ihtiyati tedbir emri de dahil olmak üzere.
ALN davalarına katılmayan Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “Sağlık hizmeti sağlayıcılarının etkili gelir döngüsü yönetimine sahip olması gerekiyor” dedi. “ALN ihlali, RCM satıcılarıyla çalışırken ortaya çıkabilecek sorunların başka bir örneğidir” dedi.
“Bir RCM satıcısına emanet edilen her zaman, korunan sağlık bilgileri, çeşitli RCM hizmetlerini gerçekleştiren taşeronlara dağıtılır. Aln, ihlal için üçüncü taraf bir servis sağlayıcısını hatalatır.” Dedi.
Tabii ki, gelir döngüsü yönetimi ve ilgili hizmetler sunan satıcıları içeren başka olaylar da var – Şubat 2024 değişim sağlık hizmetlerine yönelik fidye yazılımı saldırısı da dahil.
Güvenlik firması Mind’in kurucu ortağı ve CEO’su Eran Barak, “Bu satıcılar, yönettikleri kişisel, sağlık ve finansal verilerin karışımı nedeniyle saldırganlar için bir ikramiye.” Dedi. Bu tür saldırılarda tehlikeye atılabilecek verilerin kombinasyonu “kimlik hırsızlığından sigorta sahtekarlığına kadar her şeyi sağlar, bu yüzden tehdit aktörleri RCM sağlayıcılarını yüksek değerli hedefler olarak görüyor” dedi.
Hamilton, sağlık hizmetlerine ve diğer sektörlere hizmet veren üçüncü taraflardan uzlaşmanın devam eden modelinin göz ardı edilmemesi gerektiğini söyledi. Diyerek şöyle devam etti: “Bu, geniş bir etkiye sahip olabilecek ve olasılık geliştirebilecek satıcılar ve işbirliği içinde oyun dışındaki senaryolarla çalışmak için bir fırsat.”
Hales, sağlık hizmeti sağlayıcılarının RCM satıcılarını dikkatli bir durum tespiti ve iş ortak anlaşmaları yoluyla iyice incelediklerini ve “satıcılarının uzunluğuna bakılmaksızın zincirin her bağlantısında karşılaştırılabilir durum tespiti ve baas gerektirmesini sağladığını öne sürüyor.”
Health Prime – ALN’in ana şirketi – Bilgi Güvenliği Medya Grubu’nun yorum talebine ve ALN ihlali hakkında ek ayrıntılara hemen yanıt vermedi.