Los Angeles Bölgesi Sağlık Hizmetleri Departmanı, iki düzineden fazla çalışanı etkileyen yakın tarihli bir kimlik avı saldırısından kaynaklanan bir veri ihlali nedeniyle binlerce hastanın kişisel ve sağlık bilgilerinin açığa çıkmasının ardından bir veri ihlali olduğunu açıkladı.
Bu entegre sağlık sistemi, LA County’deki (Amerika Birleşik Devletleri’nin en kalabalık ilçesi) kamu hastanelerini ve kliniklerini işletmektedir ve NYC Health + Hospitals’tan sonra ülkedeki en büyük ikinci kamu sağlık sistemidir.
Potansiyel olarak etkilenen kişilere gönderilen veri ihlali bildirimlerinde ortaya çıktığı gibi, Şubat ayındaki bir saldırıda kimlik bilgileri çalındıktan sonra 23 çalışanın posta kutularının güvenliği ihlal edildi.
Sonuç olarak saldırganlar, çalışanların e-posta kutularında saklanan hastaların kişisel ve sağlık verilerine erişim sağladı.
LA İlçe Sağlık Hizmetleri BleepingComputer’a yaptığı açıklamada, “DHS idari bir inceleme gerçekleştirdi ve yaklaşık 6.085 kişinin bilgilerinin etkilenmiş olabileceğini belirledi.” dedi.
Bildirimlerde ayrıca “19 Şubat 2024 ile 20 Şubat 2024 arasında DHS bir kimlik avı saldırısı yaşadı. Özellikle bir bilgisayar korsanı, kimlik avı e-postası aracılığıyla 23 DHS çalışanının oturum açma bilgilerini ele geçirdi.” ifadesine yer verildi.
“Bu durumda DHS çalışanları, güvenilir bir gönderenden gelen meşru bir mesaja ulaştıklarını düşünerek e-postanın gövdesinde bulunan bağlantıya tıkladılar.”
Ele geçirilen posta kutularındaki belgeler ve e-postalar, hastaların kişisel bilgilerinin ve sağlık bilgilerinin bir kombinasyonunu içeriyordu:
- ad ve soyadı, doğum tarihi, ev adresi, telefon numarası/numaraları, e-posta adresi, tıbbi kayıt numarası, müşteri kimlik numarası, hizmet tarihleri
- tıbbi bilgiler (örneğin tanı/durum, tedavi, test sonuçları, ilaçlar),
- ve/veya sağlık planı bilgileri.
Etkilenen kişiler farklı şekilde etkilenmiş olabilir ve ihlal edilen e-posta kutularında saklanan veriler Sosyal Güvenlik Numaralarını (SSN’ler) veya finansal bilgileri içermiyordu.
LA İlçe Sağlık Hizmetleri, ihlali tespit ettikten sonra etkilenen e-posta hesaplarını devre dışı bıraktı, ele geçirilen çalışanların cihazlarını sıfırlayıp yeniden görüntüledi ve tüm şüpheli gelen e-postaları karantinaya aldı. Ayrıca tüm çalışanlara, özellikle eki veya bağlantısı olan e-postaları incelerken her zaman dikkatli olmaları gerektiğini hatırlatan farkındalık bildirimleri dağıtıldı.
Sağlık sistemi ayrıca ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’ne, Kaliforniya Halk Sağlığı Bakanlığı’na ve diğer ilgili kurumlara veri ihlali konusunda bildirimde bulunacaktır.
Ek olarak, soruşturma sırasında saldırganların açığa çıkan kişisel bilgilere ve sağlık bilgilerine eriştiğine veya bunları kötüye kullandığına dair hiçbir kanıt bulunmasa da LA County Health Services, etkilenen hastalara tıbbi kayıtlarının içeriğini ve doğruluğunu doğrulamak için sağlık uzmanlarıyla iletişime geçmelerini tavsiye ediyor.
26 Nisan 05:20 EDT güncellemesi: LA İlçe Sağlık Hizmetleri bildirimi eklendi.