Veri güvenliği, sağlık hizmeti, sektöre özgü
Firma Nisan ayı başlarında bir ilk ihlal raporu sunduğundan beri ihlal kurbanı taksisi yükseliyor
Marianne Kolbasuk McGee (Healthinfosec) •
23 Nisan 2025
Maryland merkezli bir dış kaynak avantajı ve bordro yöneticisi, dokuz büyük müşteriye ve yaklaşık 264.000 kişiye hassas kişisel bilgilerinin Aralık ayında bir hackte potansiyel olarak tehlikeye atıldığını bildiriyor.
Şirketin şu anki 263.893 etkilenen bireysel taksit, 9 Nisan’da ilk olarak bildirilen 32.234’ten eyalet düzenleyicilerine ve ABD Sağlık ve İnsan Hizmetleri Departmanı’na HIPAA ihlali olarak yükselmiştir.
Faydalı Şirket, dokuz müşteri adına etkilenen bireylere ihlal bildirimleri sağladığını söyledi: Amerjis, Beam Faydaları, Çevre Yolu Şirketleri, CareFirst BlueCross BlueShield, Guardian Life Insurance Co., Baltimore Intercon kamyonu, yayıncıların dolaşım tatmin, kuantum gerçek emlak yönetimi ve yaşamları dönüştürme.
Kelly bir açıklamada faydaları, “olayın hassas doğası ve müteakip soruşturma” na atıfta bulunarak yorumu reddetti.
Olayla ilgili bir soruşturma, şirketin BT ortamının 12 Aralık ve 17 Aralık 2024 arasında yetkisiz erişime maruz kaldığını belirledi. Bu süre zarfında bazı dosyaların kopyalandığını ve saldırganlar tarafından alındığını söyledi.
Şirket, “Kelly Faydaları, etkilenen dosyalarda hangi bilgilerin bulunduğunu ve kiminle ilişkili olduğunu belirlemek için bu olaydan etkilenen tüm dosyaların zaman yoğun ve ayrıntılı bir incelemesini başlattı.” Dedi. Bireyi uygun istemci veya taşıyıcıyla eşleştirmek için dahili kayıtları analiz etti.
Olayda tehlikeye atılan bilgiler bireyler arasında değişir, ancak potansiyel olarak isim, sosyal güvenlik numarası, doğum tarihi, tıbbi bilgiler, sağlık sigortası bilgileri ve finansal hesap bilgilerini içerir.
Kelly Faydaları FBI’ı olayla ilgili olarak bildirdi. Şirket, güvenlik politikalarını, prosedürlerini ve araçlarını da gözden geçirmeye devam ettiğini söyledi.
Çarşamba itibariyle, Kelly’nin hack olayını içeren faydalarına karşı önerilen en az bir federal sınıf eylem davası açılmıştı.
Bu dava, Kelly Faydalarının, hassas olarak tanımlanabilir bilgileri yetkisiz tarafların erişiminden korumamada ihmal edildiğini iddia ediyor.
Dava, “Birkaç aylık kredi izleme hizmetlerinde bile, kimlik hırsızlığı riski ve davacı ve sınıf üyelerinin PII’sinin yetkisiz kullanımı riski hala büyük ölçüde yüksektir.”
Dava, “Siber suçluların kimlik sahtekarlığı veya yanlış kullanım davacıları ve sınıfın PII’sini kötüye kullanmak için bir kişinin sosyal güvenlik numarasını veya finansal hesap bilgilerini hasat etmeleri gerekmiyor.” “Siber suçlular, veri ihlalinden çalınan verileri çapraz referans alabilir ve daha sonra davacı ve sınıfın finansal hesaplarında hileli hesap faaliyeti yapmak için kullanılabilecek ‘fullz’ paketleri oluşturmak için diğer kaynaklarla birleşebilir.”