Missouri Sosyal Hizmetler Departmanı, korunan Medicaid sağlık hizmeti bilgilerinin, IBM’in bir MOVEit veri hırsızlığı saldırısına uğramasının ardından bir veri ihlali sırasında açığa çıktığı konusunda uyardı.
Saldırı, CVE-2023-34362 olarak izlenen sıfır gün güvenlik açığını kullanarak 27 Mayıs’ta MOVEit Transfer sunucularını hacklemeye başlayan Clop fidye yazılımı çetesi tarafından gerçekleştirildi.
Bu saldırılar, tehdit aktörlerinin şirketler, eğitim kurumları, federal hükümet kurumları ve yerel devlet kurumları dahil olmak üzere dünya çapında 600’den fazla şirketten veri çalmasına olanak sağladı.
Fidye yazılımı çetesinin bu saldırılardan 75-100 milyon dolar kazanması bekleniyor.
Missouri sağlık verileri açığa çıktı
Dün, Missouri Sosyal Hizmetler Departmanı, eyaletteki Medicaid hizmetleriyle ilgili sağlık bilgilerini ifşa eden bir veri ihlalini açıkladı.
DSS veri ihlali bildiriminde “Missouri Sosyal Hizmetler Departmanı (DSS), IBM Consulting (IBM) ile Progress Software’in MOVEit Transfer yazılımını içeren Mayıs 2023’te meydana gelen bir veri güvenliği olayına yanıt veriyor.”
“IBM, uygun Missouri’lilere Medicaid hizmetleri sağlayan devlet kurumu olan DSS’ye hizmet sağlayan bir satıcıdır. Veri güvenlik açığı herhangi bir DSS sistemini doğrudan etkilemedi, ancak DSS’ye ait verileri etkiledi. DSS, bu olaya yanıt olarak hemen harekete geçti. devam etmektedir.”
IBM dün BleepingComputer’a MOVEit Transfer sunucularının bu saldırılarda ihlal edildiğini ve veri hırsızlığına izin verdiğini doğruladı.
IBM, BleepingComputer’a yaptığı açıklamada, “IBM, Progress Software tarafından sağlanan IBM dışı bir veri aktarım programı olan MOVEit Transfer’i içeren olayın etkisini belirlemek ve en aza indirmek için Missouri Sosyal Hizmetler Departmanı ile ortaklaşa çalıştı.”
“Progress’ten bir güvenlik bülteni aldıktan sonra, Missouri vatandaşları ve onların verileri üzerinde daha fazla etki oluşmasını önlemek için MOVEit Transfer’in departmanın BT sistemleriyle etkileşimini kestik. Hiçbir IBM sistemi etkilenmedi.”
DSS, çalınan verileri analiz ettikten sonra, Missouri’deki Medicaid katılımcıları için korunan sağlık bilgileri içerdiğini doğruladı.
DSS bildirimi, “Bu olayla ilgili bilgiler, bir kişinin adını, departman müşteri numarasını (DCN), doğum tarihini, olası fayda uygunluk durumunu veya kapsamını ve tıbbi talep bilgilerini içerebilir” diye açıklıyor.
“DSS hala bu olayla ilgili dosyaları inceliyor. Bunu tamamlamamız biraz zaman alacak. Bu dosyalar büyük, sade İngilizce değil ve biçimlendirilme biçimleri nedeniyle kolayca okunamıyor.”
Ajans, BleepingComputer’a soruşturmanın yalnızca iki (2) sosyal güvenlik numarasının ifşa edildiğini ve hiçbir bankacılık bilgisinin tespit edilmediğini ortaya çıkardığını söyledi.
DSS, çalınan dosyaların boyutu ve biçimlendirilme biçimleri nedeniyle verilerin analiz edilmesinin ve veri ihlalinin kapsamının tam olarak belirlenmesinin biraz zaman alabileceği konusunda uyarıda bulunur.
Ancak DSS, BleepingComputer’a çok fazla ihtiyat gereği Mayıs 2023’te kaydolan tüm Missouri Medicaid katılımcılarına bildirimler gönderdiklerini söyledi.
Missouri Sosyal Hizmetler Departmanı, tehdit aktörlerinin kendi adlarına yeni hesaplar açmasını veya borç para almasını önlemek için bireylerin kredilerini dondurmalarını öneriyor.
Ajans ayrıca, etkilenenlerin olağandışı faaliyetler için kredi raporlarını izlemelerini tavsiye ediyor.
MOVEit Transfer saldırıları, Haziran ayında milyonlarca eyalet kimliğinin çalındığı konusunda uyarıda bulunan Louisiana ve Oregon Motorlu Taşıtlar Departmanı da dahil olmak üzere diğer devlet kurumlarını etkiledi.