Los Angeles Bölgesi Halk Sağlığı Departmanı (DPH), 200.000’den fazla kişiyi etkileyen önemli bir veri ihlali olduğunu açıkladı. Los Angeles County DPH’de 19-20 Şubat 2024 tarihleri arasında meydana gelen veri ihlali, hassas kişisel, tıbbi ve finansal bilgilerin çalınmasını içeriyordu.
Veri ihlali, harici bir tehdit aktörünün 53 DPH çalışanının oturum açma bilgilerini ele geçirdiği bir kimlik avı saldırısıyla başlatıldı. Resmi duyuruda “19 Şubat 2024 ile 20 Şubat 2024 arasında DPH bir kimlik avı saldırısına maruz kaldı” ifadesi yer alıyor.
Los Angeles County DPH’de Veri İhlali: Ne Oldu?
Meşru görünmek için tasarlanan kimlik avı e-postası, çalışanları kötü amaçlı bir bağlantıya tıklayarak kimlik bilgilerini açıklamaları için kandırdı. Bu yetkisiz erişim, müşteriler, çalışanlar ve diğerleri de dahil olmak üzere DPH ile ilişkili çeşitli kişileri etkileyen geniş kapsamlı bir veri ihlaline yol açtı.
Ele geçirilen e-posta hesapları çok sayıda hassas veri içeriyordu. Potansiyel olarak açığa çıkan bilgiler şunları içerir:
- Ad ve soyadlar
- Doğum tarihleri
- Teşhis ve reçete ayrıntıları
- Tıbbi kayıt numaraları/hasta kimlikleri
- Medicare/Med-Cal numaraları
- Sağlık sigortası bilgileri
- Sosyal Güvenlik numaraları
- Diğer mali bilgiler
Yukarıdaki veri öğelerinin hepsinin etkilenen her birey için mevcut olmadığını unutmamak önemlidir. Ele geçirilen hesaplarda yer alan belirli bilgilere bağlı olarak her birey farklı şekilde etkilenmiş olabilir. Los Angeles County DPH, “Etkilenen bireyler farklı şekilde etkilenmiş olabilir ve listelenen unsurların tümü her bireyde mevcut olmayabilir” dedi.
Los Angeles County DPH Bildiriminde Veri İhlali
DPH, potansiyel olarak etkilenen tüm bireyleri bilgilendirmek için kapsamlı adımlar atıyor. Posta adresi mevcut olan kişilere posta yoluyla tebligatlar gönderilmektedir. Posta adresi olmayan kişiler için DPH, gerekli bilgi ve kaynakları sağlamak üzere web sitesinde bir bildirim de yayınlar.
Bakanlık, etkilenen kişilere tıbbi kayıtlarının içeriğini ve doğruluğunu sağlık uzmanlarıyla birlikte incelemelerini tavsiye etti.
Ancak Los Angeles Bölgesi DPH, bildirimin gecikmesi üzerine şunları söyledi: “Kamuoyuna yapılan duyurunun soruşturmayı engellemiş olabileceğinden, kolluk kuvvetleri tarafından yürütülen bir soruşturma nedeniyle, bu olayın bildirimini geciktirmemiz tavsiye edildi.”
DPH, bilgilerinin potansiyel olarak kötüye kullanılmasına karşı korunmaya yardımcı olmak için, risk azaltma ve müdahalede dünya lideri olan Kroll aracılığıyla bir yıllık ücretsiz kimlik izleme hizmetleri sunuyor.
Bildiride, “Bu olaydan sonra endişeleri gidermeye ve güveni yeniden tesis etmeye yardımcı olmak için, risk azaltma ve müdahalede küresel bir lider olan Kroll’un hizmetlerini, etkilenen müşterilere bir yıl boyunca ücretsiz olarak kimlik izleme sağlamak üzere güvence altına aldık” deniyor.
Müdahale ve Önleyici Tedbirler
Los Angeles County DPH veri ihlalini keşfettikten sonra DPH, daha fazla riski azaltmak için derhal harekete geçti. Bakanlık, etkilenen e-posta hesaplarını devre dışı bıraktı, kullanıcıların cihazlarını sıfırlayıp yeniden görüntüledi, kimlik avı kampanyasına dahil olan web sitelerini engelledi ve tüm şüpheli gelen e-postaları karantinaya aldı. Ayrıca DPH, gelecekte benzer olayların yaşanmasını önlemek için çok sayıda güvenlik iyileştirmesi uyguladı.
Tüm iş gücü üyelerine, e-postaları, özellikle de bağlantı veya ek içerenleri incelerken dikkatli olmaları gerektiğini hatırlatan farkındalık bildirimleri dağıtıldı. Bu önlemler, departmanın kimlik avı saldırılarına ve diğer siber tehditlere karşı savunmasını güçlendirmeyi amaçlıyor.
Olay, ihlali araştıran kolluk kuvvetlerine derhal bildirildi. Yasaların ve sözleşme yükümlülüklerinin gerektirdiği şekilde, ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Ofisi ve diğer ilgili kurumlar da bilgilendirilir.
Bireylerin Kendini Korumasına Yönelik Adımlar
DPH herhangi bir bilgiye erişilip erişilmediğini veya kötüye kullanılıp kullanılmadığını doğrulayamasa da, etkilenen bireylerin kişisel bilgilerini korumak için proaktif adımlar atmaları teşvik edilmektedir. Bu adımlar şunları içerir:
- Tıbbi Kayıtların İncelenmesi: Bireyler herhangi bir tutarsızlık veya yetkisiz hizmet açısından tıbbi kayıtlarını ve Fayda Açıklamalarını gözden geçirmelidir. Herhangi bir düzensizlik, sağlık hizmeti sağlayıcısına veya sağlık planına bildirilmelidir.
- Kredi Raporlarının Talep Edilmesi: Bireylerin mali tablolarını ve kredi raporlarını düzenli olarak gözden geçirerek kimlik hırsızlığı ve dolandırıcılığa karşı dikkatli olmaları gerekmektedir. ABD yasalarına göre bireyler, üç büyük kredi raporlama bürosunun (Equifax, Experian ve TransUnion) her birinden yılda bir kez ücretsiz kredi raporu alma hakkına sahiptir. Ücretsiz kredi raporları http://www.annualcreditreport.com adresinden veya 1-877-322-8228 numaralı telefonu arayarak talep edilebilir.
- Dolandırıcılık Uyarılarının Yerleştirilmesi: Bireyler, kredi dosyalarına, alacaklılara kredi vermeden önce kimliği doğrulamak için ek adımlar atmalarını bildiren bir dolandırıcılık uyarısı yerleştirebilir. Dolandırıcılık uyarıları, büyük kredi bürolarından herhangi biriyle iletişime geçilerek ayarlanabilir.
- Güvenlik Donuyor: Kredi raporlarına, kredi bürolarının yazılı izin olmadan herhangi bir bilgiyi yayınlamasını önleyen bir güvenlik dondurması da uygulanabilir. Bu önlem, yetkisiz kredi faaliyetlerinin önlenmesine yardımcı olabilir ancak yeni kredi taleplerinin onaylanmasını geciktirebilir.
Los Angeles Bölgesi Halk Sağlığı Departmanı, müşterilerinin, çalışanlarının ve diğer paydaşların mahremiyetini ve güvenliğini korumak için kolluk kuvvetleri ve diğer kurumlarla işbirliği yapmaya devam etmektedir.