Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Kimlik Bilgisi-Düzenleme İhlalleri yaklaşık 200.000 Warby Parker müşterisini etkiledi
Marianne Kolbasuk McGee (Healthinfosec) •
20 Şubat 2025
Federal düzenleyiciler, gözlük üreticisi ve perakendeci Warby Parker’a yaklaşık 200.000 kişiyi etkileyen kimlik bilgisi hackleri nedeniyle 1,5 milyon dolarlık HIPAA sivil para cezası aldı.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Para cezası, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın ikinci Donald Trump yönetiminden bu yana ilk ilan edilen HIPAA icra eylemi olsa da, HHS Sivil Haklar Ofisi, Warby Parker’a karşı cezanın Aralık 2024’te uygulandığını söyledi. Biden yönetiminin son haftaları.
HHS OCR, şirket tarafından açılan bir HIPAA ihlali raporu aldıktan sonra Aralık 2018’de Warby Parker hakkında bir soruşturma başlattığını söyledi.
“Rapor, Kasım 2018’de Warby Parker’ın web sitesinde olağandışı, giriş faaliyeti girişiminde bulunduğunu söyledi. Warby Parker, 25 Eylül 2018 ve 30 Kasım 2018 arasında yetkisiz üçüncü tarafların Warby Parker Müşterisine erişim kazandığını bildirdi. Muhtemelen ihlal edilen diğer ilgisiz web sitelerinden elde edilen kullanıcı adlarını ve şifreleri kullanarak hesaplar. “
Daha sonra, bu kimlik bilgisi hackinden yaklaşık iki yıl sonra, Eylül 2020’de Warby Parker, Aralık 2018 ihlali raporuna bir zeyilname yaptı ve ihlalden etkilenen bireylerin sayısını 197,986’ya güncelledi (bakınız: bkz: bkz: Sağlık Veri İhlali Tally: Yenilikler).
Etkilenen elektronik korumalı sağlık bilgileri, Warby Parker’ın müşteri adları, posta adresleri, e -posta adresleri, belirli ödeme kartı bilgileri ve gözlük reçete bilgilerini içeriyordu.
Warby Parker ayrıca, benzer kimlik bilgisi hilesi saldırılarının ardından Nisan 2020 ve Haziran 2022’de her bir ihlal raporu ile 500’den az kişiyi etkileyen sonraki ihlal raporlarını da açtı.
HHS OCR, Warby Parker olaylarıyla ilgili soruşturmasının HIPAA güvenlik kuralının üç ihlali olduğuna dair kanıt bulduğunu söyledi.
Bunlar arasında doğru ve kapsamlı bir risk analizi yapmamak; EPHI için risk ve güvenlik açıklarını azaltmak için yeterli güvenlik önlemlerinin uygulanmaması; ve bilgi sistemi etkinliğinin kayıtlarını düzenli olarak gözden geçirmek için prosedürleri uygulamamak.
HHS OCR direktörü Anthony Archeval, “HIPAA güvenlik kuralına etkili siber güvenlik ve uyumluluk için elektronik korumalı sağlık bilgilerine potansiyel risk ve güvenlik açıklarının belirlenmesi ve ele alınması gereklidir.” Dedi.
“Bireylerin elektronik sağlık bilgilerini korumak, düzenlenmiş kuruluşların bir ihlal yaşamadan önce güvenlik kuralı gereksinimlerini uygulama ve uyma konusunda uyanık olması gerektiği anlamına gelir.”
HHS, Eylül 2024’te Warby Parker’a 1,5 milyon dolar para cezası verme planlarını bildirdi, ancak şirket duruşma hakkından feragat etti ve ajansın dava hakkında önerilen kararlılık bildirimine itiraz etmedi. Aralık 2024’te HHS OCR para cezasını empoze etti.
Warby Parker, Information Security Media Group’un HIPAA Fine hakkında yorum talebine hemen cevap vermedi.
HHS OCR’nin ihlalleri içeren HIPAA icra eylemlerinin büyük çoğunluğu genellikle ajans ve bir finansal çözüm ve düzeltici bir eylem planı içeren ihlal edilen varlık veya iş ortağı arasındaki karar anlaşmaları ile sona erer. Warby Parker’ın neden HHS OCR’nin önerilen kararlılık bildirimine itiraz etmediği belli değil, ancak bazı uzmanlar çeşitli faktörlerin devreye girebileceğini söyledi.
Davaya dahil olmayan Metaverse Law’dan düzenleyici avukat Lily Li, “Warby Parker’ın işitme hakkından feragat etmesi olağandışı.” Dedi.
“Sivil para cezasına itiraz etmemek, ilk olarak avukatın ceza ile mücadele ücretlerine katılmak istemediklerini ve ikinci olarak, muhtemelen önceki güvenlik duruşları hakkında çok daha fazla endişeleri var, bu yüzden daha fazla soruşturma istemeyecekler , “dedi.