- Janssen CarePath verileri, maruz kalan isimleri, iletişim bilgilerini, sigorta bilgilerini ve ilaç verilerini ihlal ediyor.
- IBM, yetkisiz erişim elde etmek için kullanılan bir “teknik yöntemi” devre dışı bıraktı.
- Ücretsiz 1 yıllık kredi izleme olanağı sunulmaktadır.
- Janssen CarePath kullanıcıları hesap özetlerini izlemelidir.
- Veri ihlali, kişisel bilgilerin korunmasına yönelik bir hatırlatmadır.
Johnson & Johnson Health Care Systems, Inc.’in hizmet sağlayıcısı olan IBM, Janssen CarePath hasta destek platformunun müşterilerini ve kullanıcılarını, kişisel bilgilerin açığa çıkmasına neden olabilecek bir veri ihlali konusunda bilgilendirdi.
İhlal, Janssen CarePath tarafından kullanılan bir veritabanına yetkisiz erişimi içeriyordu. Ele geçirilmiş olabilecek bilgiler bireylerin adlarını ve aşağıdakilerden bir veya daha fazlasını içerir: iletişim bilgileri, doğum tarihi, sağlık sigortası bilgileri ve ilaçlar ve ilgili koşullar hakkında bilgiler. Sosyal Güvenlik numaraları ve mali hesap bilgileri veritabanında yer almadı veya etkilenmedi.
IBM, sorunun Janssen tarafından 2 Ağustos 2023’te kendisine bildirildiğini ve yetkisiz erişim elde etmek için kullanılan teknik yöntemi devre dışı bırakmak için derhal veritabanı sağlayıcısıyla birlikte çalıştığını söyledi. IBM ayrıca gelecekte benzer bir olayın yaşanma olasılığını azaltmak için güvenlik denetimlerini de artırdı.
İlgili bilgilerin herhangi birinin kötüye kullanıldığına dair bir belirti bulunmamakla birlikte, bilgilerine karışmış olabilecek kişilere bir yıllık ücretsiz kredi izleme hizmeti sunuluyor. Kişiler kendilerine gelen tebligat yazılarındaki talimatları takip ederek veya özel çağrı merkezini arayarak kredi takibi işlemini gerçekleştirebilirler.
Janssen CarePath kullanıcılarının, yetkisiz faaliyetlerle ilgili olarak hesap özetlerini ve sağlık sigortalarının veya bakım sağlayıcılarının sağladığı faydalara ilişkin açıklamaları düzenli olarak inceleyerek dikkatli olmaları ve herhangi bir şüpheli faaliyeti derhal bildirmeleri teşvik edilmektedir.
Habere yanıt olarak Kapalı Kapı Güvenliği CEO’su William Wright, Hackrad.com’a şunları söyledi: “IBM, veritabanına nasıl erişildiğine ilişkin bilgi vermedi ancak ‘teknik bir yöntem’ belirlediğini söyleyerek buna benziyor yama uygulanmamış bir güvenlik açığından veya veritabanının dış erişime karşı düzgün şekilde güvenliğinin sağlanamamasından kaynaklanmış olabilir.”
“Kuruluşların, yama yapılmamış güvenlik açıklarını tespit etmek ve saldırganlar tarafından kullanılabilecek ağ kör noktalarını tespit etmek için varlıklarında düzenli olarak sızma testleri yapması gerekiyor. Bu güvenlik değerlendirmeleri, bir saldırganın ağa sızmak için kullanabileceği tüm farklı yolların test edildiği ve mühürlendiği saldırı odaklı olmalıdır. Aksi takdirde, burada gördüğümüz gibi, bir saldırganın onları tespit etmesi ve istismar etmesi çok uzun sürmeyecek,” diye ekledi William.
“IBM’in hala olayı araştırdığı açık, ancak potansiyel olarak açığa çıkan veriler saldırganlar için altın madeni olabilir. Sağlık verileri karanlık ağdaki en değerli bilgilerdir, bu nedenle saldırganların bu verilerden para kazanmanın birden fazla yolu vardır; ya satarak ya da kurbanları daha fazla istismar ederek.” “IBM’in acilen etkilenenlerle iletişim kurması gerekiyor çünkü onların daha sonraki saldırılara karşı tetikte olmaları gerekiyor.”
Veri ihlali, sağlık kuruluşlarını etkileyen bir dizi yüksek profilli güvenlik olayının sonuncusu. Son aylarda Apria, LabCorp, Quest Diagnostics ve Anthem’de veri ihlalleri yaşandı.
Janssen CarePath veri ihlali, sağlık sektöründe veri güvenliğinin önemini hatırlatıyor. Sağlık kuruluşları, güçlü güvenlik kontrolleri uygulamak ve düzenli güvenlik değerlendirmeleri yapmak da dahil olmak üzere hasta verilerini korumak için adımlar atmalıdır.