Lehigh Valley Sağlık Ağı’nda (LVHN), Allentown, Pensilvanya’da tedavi gören bir kanser hastası, muayene odasında çekilmiş kısmen çıplak resimlerinin çalınması ve bir fidye yazılımı sızıntı sitesine sızdırılmasının ardından sağlık hizmetlerine karşı toplu dava açmıştı.
Görüntüler, Lehigh Valley Sağlık Ağı Veri İhlali olayının ardından, kuruluş ile bilgisayar korsanları arasındaki müzakere görüşmelerinin başarısız olmasıyla sızdırıldı.
13 Mart’ta açılan davada, Lehigh Valley Sağlık Ağı’nın fidyeyi ödemeyi reddederek “hasta mahremiyetinden çok paraya” öncelik verdiği iddia edildi.
Bir habere göre, “Jane Doe” olarak tanımlanan davacı ve diğerlerinin meme kanseri radyasyon tedavisi için soyunma evrelerinde fotoğrafları çekildi.
Kısmen çıplak fotoğraflar, BlackCat fidye yazılımı grubu tarafından Lehigh Valley Health Network’e yapılan fidye yazılımı saldırısının ardından sızıntı sitesinde yayınlandı.
Lehigh Valley Health Network toplu dava davası ne dedi?
Lehigh Valley Health Network toplu dava davası Pennsylvania’nın Lackawanna ilçesinde “Jane Doe” tarafından açıldı.
Hukuk firması Saltz Mongeluzzi & Bendesky tarafından yapılan açıklamada, davalı LVHN’nin 6 Şubat 2023 tarihinde veri ihlaline uğradığı iddia edildi.
28 Şubat’ta Lehigh Valley veri ihlalinin medyada yer almasını izledikten sonra, “Jane Doe” doktoruyla temasa geçerek kişisel verilerinin sızdırılıp sızdırılmadığını sordu. Jane, çıplak fotoğraflarının LVHN’nin ağında olduğuna dair hiçbir fikri olmadığını söyledi.
Genellikle veri ihlalleri, diğerlerinin yanı sıra adresler, e-postalar ve doğum tarihleri gibi kişisel olarak tanımlanabilir bilgilerin kaybolmasına neden olur. Ancak LVHN ihlali, genellikle hastanın bilgisi dışında çekilen çıplak fotoğrafları ortaya çıkardı, dava sonuçlandı.
LVHN veri ihlalinin arkasındaki siber suçlular, fidye ödenmediği takdirde hassas görüntüleri kamuya açıklamakla tehdit ettiler.
Lehigh Valley Health Network toplu dava davası, sanığın “bilgisayar korsanlarının Davacının ve diğerlerinin çıplak resimlerini internette yayınlamasına izin verme konusunda bilerek, umursamazca ve kasıtlı olarak karar verdiğini” iddia etti.
Lehigh Valley Sağlık Ağı, kurbanların PII ve PHI’larını korumak için makul önlemleri almayarak HIPAA’yı da ihlal etti.
Yanlış davranış, yanlış beyan, gizleme ve yasa dışı uygulamalar nedeniyle Lehigh Valley Health Network toplu dava açıldı.
Lehigh Valley Sağlık Ağı fidye yazılımı saldırısı
Lehigh Valley Sağlık Ağı, BT sisteminde ilk kez 6 Şubat’ta yetkisiz erişim tespit etti. Hastaların üç mahrem fotoğrafı BlackCat fidye yazılımı tarafından çevrimiçi olarak yayınlandı. Görüntüler radyasyon onkolojisi tedavisi gören kanser hastalarına aitti.
Lehigh Valley Health Network toplu dava beyanında, BlackCat’in web sitesinden yukarıda gösterildiği gibi, “Blogumuz birçok dünya medyası tarafından takip ediliyor, dava geniş çapta duyurulacak…. Zamanın doluyor.”
Tehdit, müşteri tabanının pasaport verileri, fotoğraflar ve anketler gibi hassas dosyalarının BlackCat’te olduğundan bahsetti.
LVHN, yılda 2.400’den fazla yeni hastaya sağlık hizmeti sunmaktadır. Lehigh Valley Sağlık Ağı’nın web sitesi – https://www.lvhn.org/ bu yazı yazıldığı sırada erişilmiyordu.
BlackCat fidye yazılımı grubu
REvil’in halefi olan Rus bağlantılı BlackCat fidye yazılımı grubu ilk olarak 2021’de tespit edildi.
ALPHV olarak da adlandırılan grup, özellikle sağlık sektöründe artan siber saldırılarla ilgili olarak adli makamlardan haklarında çok sayıda uyarı ve rapor yayınladı.
Çalınan verilere karşı fidye ödemesi, yalnızca siber suçluları teşvik ettiği ve fidyeyi aldıktan sonra tüm verilerin şifresini çözmediği için yasal yetkililer tarafından caydırıldı.