Trans-Tasman sağlık bilgi portalı ManageMyHealth’i etkileyen, yavaş yavaş ortaya çıkan yüksek profilli bir veri ihlali, binlerce kayıtlı hastanın son derece hassas verilerinin tehlikeye girip girmediği ve internete sızdırılıp sızdırılmadığı konusunda gergin durumda.
30 Aralık’ta ManageMyHealth’e, fidye yazılımı grubu Kazu’nun sistemlerini ihlal ettiği ve yaklaşık 108 gigabayt hasta verisini sızdırdığı bildirildi.
Hastalar ve pratisyen hekimler veri ihlalini ancak ManageMyHealth web sitesini ziyaret ettiklerinde veya şirketin mobil uygulamasını kullandıklarında öğrendiler ve kendilerine bir siber güvenlik olayının araştırıldığı söylendi.
Birkaç gün içinde olup bitenleri sosyal medya paylaşımlarından ve ardından gelen haberlerden öğrenen kullanıcılara ManageMyHealth tarafından herhangi bir bildirim gönderilmedi.
ManageMyHealth, 2008’den bu yana 1,85 milyon hastayı kaydettirdiğini iddia ediyor.
ManageMyHealth, veri ihlalinden birkaç gün sonra yayınlanan sık sorulan sorular listesinde kullanıcıların “yüzde altı ila yedisinin”, yani 111.000 ila 129.500 kişinin etkilendiğini belirtti.
Şirket, ihlali kontrol altına aldığını ve platformunun kullanımının artık güvenli olduğunu söyledi.
Mobil uygulamasını kapattı ve insanlara Kazu ile iletişim kurmamalarını tavsiye ediyor.
ManageMyHealth’e bu hafta ayrıca üçüncü tarafların ihlalden kaynaklanan herhangi bir veriye erişmesini yasaklayan bir Yüksek Mahkeme kararı verildi.
Kazu’nun bir fidye yazılımı suç grubu olduğu söylense de, verilerin ManageMyHealth sistemindeki bozuk erişim kontrolleri yoluyla ele geçirildiği anlaşılıyor.
ManageMyHealth CEO’su Vino Ramayah şunları söyledi: Radyo Yeni Zelanda Saldırganların “geçerli bir kullanıcı şifresi kullanarak ön kapıdan içeri girdiği” ve uzman tavsiyelerinden alınan sağlık belgelerini içeren tek bir sistem modülüne sızıldığı belirtildi.
Kazu, çaldığı 420.000’den fazla kayıttan oluşan veriler için 60.000 ABD Doları (89.230 ABD Doları) fidye talep etti ve suçlular Telegram aracılığıyla iletişim kurarken örnek hasta bilgilerini yayınladı.
Fidye yazılımı suçluları, Telegram’da bir bildiri yayınlayarak, sağlık verilerinin ne kadar değerli ve hassas olabileceğini bildikleri için kasıtlı olarak sağlık sektörünü hedef aldıklarını söyledi.
Ramayah, ManageMyHealth’in fidyeyi ödeyip ödemeyeceğini söylemeyi reddetti ve şunları söyledi: RNZ veri ihlalinde kendi tıbbi kayıtlarının bulunduğunu söyledi.
Trans-Tasman hasta portalı sağlayıcısı şimdi ihlalle ilgili resmi bir soruşturmayla karşı karşıya.
Yeni Zelanda Sağlık Bakanı Simeon Brown, olayın nedenini ve şirketin uyguladığı veri koruma önlemlerinin yeterli olup olmadığını değerlendirmek için bu hafta ManageMyHealth’in incelendiğini duyurdu.
İncelemede ManageMyHealth’in hatalı olduğu tespit edilse bile, Yeni Zelanda’nın gizlilik mevzuatı 10.000 Yeni Zelanda Doları (8600 Avustralya Doları) gibi nispeten düşük para cezaları öngörmektedir.
Bu, ciddi ihlallerin 50 milyon dolara kadar veya bir şirketin cirosunun yüzde 30’una varan para cezalarına yol açabileceği Avustralya ile kıyaslanıyor.
Sağlık portalı sağlayıcısı tarafından gönderilen sorulara yanıt vermedi iTNews veri ihlaliyle ilgili.
ManageMyHealth, Melbourne ve Chennai, Hindistan’da ofisleri bulunan Auckland merkezli bir şirkettir.
Şirket, pratisyen hekimlerin tanı ve test sonuçları gibi bilgileri, verileri görüntülemek için çevrimiçi bir portalı kullanabilen, ayrıca randevu alabilen, reçete talep edebilen ve ManageMyHealth’in ortak kuruluşlarına erişebilen hastalarla paylaşmasına olanak tanıyan sağlık hizmetleri sunmaktadır.