Los Angeles Bölgesi Sağlık Hizmetleri Departmanı, iki düzineden fazla çalışanı etkileyen yakın tarihli bir kimlik avı saldırısından kaynaklanan veri ihlali nedeniyle hastaların kişisel ve sağlık bilgilerinin açığa çıkmasının ardından bir veri ihlali olduğunu açıkladı.
Bu entegre sağlık sistemi, LA County’deki (Amerika Birleşik Devletleri’nin en kalabalık ilçesi) kamu hastanelerini ve kliniklerini işletmektedir ve NYC Health + Hospitals’tan sonra ülkedeki en büyük ikinci kamu sağlık sistemidir.
Açıklanmayan sayıda potansiyel olarak etkilenen kişilere gönderilen veri ihlali bildirimlerinde ortaya çıktığı gibi, Şubat ayındaki bir saldırıda 23 çalışanın kimlik bilgileri çalındı.
Bildirimlerde, “19 Şubat 2024 ile 20 Şubat 2024 arasında DHS bir kimlik avı saldırısı yaşadı. Özellikle, bir bilgisayar korsanı, kimlik avı e-postası aracılığıyla 23 DHS çalışanının oturum açma bilgilerini ele geçirmeyi başardı.”
“Bu durumda DHS çalışanları, güvenilir bir gönderenden gelen meşru bir mesaja ulaştıklarını düşünerek e-postanın gövdesinde bulunan bağlantıya tıkladılar.”
Ele geçirilen posta kutularındaki belgeler ve e-postalar, aşağıdakilerin bir kombinasyonu da dahil olmak üzere hastaların kişisel ve sağlık bilgilerini içeriyordu:
- ad ve soyadı, doğum tarihi, ev adresi, telefon numarası/numaraları, e-posta adresi, tıbbi kayıt numarası, müşteri kimlik numarası, hizmet tarihleri
- tıbbi bilgiler (örneğin tanı/durum, tedavi, test sonuçları, ilaçlar),
- ve/veya sağlık planı bilgileri.
Etkilenen kişiler farklı şekilde etkilenmiş olabilir ve ihlal edilen e-posta kutularında saklanan veriler Sosyal Güvenlik Numaralarını (SSN’ler) veya finansal bilgileri içermiyordu.
LA İlçe Sağlık Hizmetleri, ihlali tespit ettikten sonra etkilenen e-posta hesaplarını devre dışı bıraktı, ele geçirilen çalışanların cihazlarını sıfırlayıp yeniden görüntüledi ve tüm şüpheli gelen e-postaları karantinaya aldı. Ayrıca tüm çalışanlara, özellikle eki veya bağlantısı olan e-postaları incelerken her zaman dikkatli olmaları gerektiğini hatırlatan farkındalık bildirimleri dağıtıldı.
Sağlık sistemi ayrıca ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’ne, Kaliforniya Halk Sağlığı Bakanlığı’na ve diğer ilgili kurumlara veri ihlali konusunda bildirimde bulunacaktır.
Ek olarak, soruşturma sırasında saldırganların açığa çıkan kişisel bilgilere ve sağlık bilgilerine eriştiğine veya bunları kötüye kullandığına dair hiçbir kanıt bulunmasa da LA County Health Services, etkilenen hastalara tıbbi kayıtlarının içeriğini ve doğruluğunu doğrulamak için sağlık uzmanlarıyla iletişime geçmelerini tavsiye ediyor.
BleepingComputer, olayla ilgili daha fazla soru sormak için LA İlçe Sağlık Hizmetleri sözcüsüne ulaştı, ancak hemen bir yanıt alınamadı.