Siber suç, veri ihlali bildirimi, veri güvenliği
Borç Toplayıcının 2024 veri ihlali çoklu hastaneyi ve tıbbi uygulamaları etkiledi
Marianne Kolbasuk McGee (Healthinfosec) •
26 Haziran 2025
Borç tahsilat firmasına yönelik 2024 hackinden büyük sağlık verileri ihlallerini bildiren sağlık sektörü müşterilerinin listesi, Amerika Birleşik Devletleri’nde etkilenen hasta sayısı gibi Nationwide kurtarma hizmeti de artmaya devam etmektedir.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
En az yarım düzine NRS müşterisi, son haftalarda hack’e federal ve eyalet düzenleyicilerine bağlı ihlaller bildirdi ve şu ana kadar yarım milyondan fazla insan olan etkilenen bireyler listesine 200.000’den fazla hasta ekledi.
Gürcistan merkezli NRS, Eylül 2024’te ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na hack olayının, yer tutucu bir tahmin olan 501 kişiyi etkilediğini bildirdi. Perşembe günü, NRS raporunun hala HHS’nin Sivil Haklar Ofisi’nin HIPAA Breach Raporlama Aracı Web Sitesinde 500 veya daha fazla kişiyi etkileyen büyük sağlık veri ihlallerinin henüz güncellenmediği görülmedi.
NRS, Bilgi Güvenliği Medya Grubu’nun hack ve etkilenen toplam müşteri ve toplam sayısı hakkında ek ayrıntı talebine hemen yanıt vermedi.
Mayıs ortasından itibaren, NRS müşterileri tarafından sunulan ihlal raporlarına dayanarak NRS’nin hackinden 300.000’den fazla hastanın etkilendiği ortaya çıktı (bakınız: Borç Toplayıcı Hack, uzun müşteri listesini, hastaları etkiler).
Daha önceki kurbanlar, Gürcistan’daki 210.000 Harbin Kliniği hastasını ve Hamilton Health Hizmetleri olarak da bilinen yaklaşık 90.000 Teksas merkezli Vitruvian Sağlığı hastası ve sağlık ve diğer sektörlerdeki diğer birkaç firma içermektedir.
O zamandan beri, diğer birkaç NRS müşterisi, HHS ve Hack’i içeren devlet düzenleyicilerine büyük ihlaller bildirdi:
Oregon merkezli TRG görüntüleme, geçen hafta Teksas’ın başsavcılığına Teksaslı hastalarının 257’sinin etkilendiğini bildirdi. TRG ayrıca California’nın başsavcısı da dahil olmak üzere diğer devlet düzenleyicilerine ihlal raporları sundu, ancak şimdiye kadar görüntüleme firması NRS hackinden etkilenen toplam kişi sayısını açıklamadı. TRG’nin ihlali henüz HHS OCR web sitesinde henüz görünmedi.
Ayrıca, son haftalarda Oklahoma merkezli Duncan Bölge Hastanesi, NRS olayından etkilenen belirtilmemiş sayıda hastayı bilgilendiriyor, ancak şimdiye kadar HHS OCR web sitesinde bir DRH ihlali raporu henüz yayınlanmadı.
Sık hedefler
NRS hackinden kaynaklanan ihlaller, elbette bu yıl bildirilen ihlal edilen diğer büyük sağlık verilerinin uzun ve büyüyen bir listesi arasında yer alıyor.
Yıl neredeyse yarısı bittiğinde, Çarşamba itibariyle HHS OCR web sitesi, 2025’te şu ana kadar yaklaşık 29.2 milyon kişiyi etkileyen toplam 336 önemli sağlık veri ihlali gösteriyor.
Bunlardan, iş ortaklarının 15.2 milyondan fazla kişiyi etkileyen 124 olayla veya 2025’te büyük sağlık verileri ihlallerinden etkilenen kişilerin yaklaşık yarısına dahil oldukları bildirildi.
Güvenlik firması Lumifi Cyber Field CISO, “Üçüncü taraflar, iş ortakları ve genel tedarik zinciri satıcıları, sağlık sektöründeki kapalı kuruluşlarla güven ilişkilerine ve bazen ağlarına ve sistemlerine doğrudan erişimlere sahiptir.” Dedi.
Yetkili, bazılarının düzinelerce hatta yüzlerce kapalı varlık adına kayıt tuttuğunu ve işlediğini söyledi.
“Bu nedenle, çoğu zaman suçluların kapsanan varlığa erişebilecekleri veya bu üçüncü tarafları doğrudan kayıtlar için uzlaştırabilecekleri ‘kilidi açılmış pencere’.” Dedi.
“Suç çetelerinin iş ilişkileri ilişkilerini araştırdığı ve gasp için kayıt almada sahip oldukları kaldıraçları anladıkları bilinmektedir – eğer açıklanırsa – bir sınıf eylem kıyafeti derhal dosyalanır. Böylece, gasp talebini, davanın büyüklüğünün hesaplanmış bir varsayımının eşiğinin altına belirlerler.”
Perşembe itibariyle, NRS zaten şirketin hackleme olayıyla ilgili yaklaşık bir düzine önerilen federal sınıf eylem davasıyla karşı karşıya kaldı.
Borç tahsildarının hackleme olayından etkilenen NRS müşterileri, ihlal bildirim açıklamalarında, “yetkisiz bir taraf” ın 5 Temmuz ve 11 Temmuz 2024 yılları arasında NRS’nin bilgisayar ağına erişim sağladığını ve bu süre zarfında NRS sistemlerinden belirli dosyaların ve klasörlerin kopyalarını edindiğini söyledi.
Meydan okulu dosyalarda ve klasörlerde yer alan bilgiler, potansiyel olarak bireylerin adlarını, adreslerini, sosyal güvenlik numaralarını, doğum tarihini, hesap bakiyesini ve tıbbi ile ilgili bilgileri, müşterilere sağladıkları borç ödeme hizmetleri ile bağlantılı olarak toplanan NR’leri içermektedir.
NRS müşterileri, etkilenen bireylere NRS olayındaki bilgisayar korsanlarının müşterilerin kendi BT sistemlerinden hiçbirine erişmediğini söylüyorlar.
Hamilton, NRS gibi tıbbi borç tahsilat firmalarının sağlık ve finansal verilerin bir kombinasyonunu ele aldığını ve özellikle tehdit aktörleri için cazip hedefleri ele aldığını söyledi. “Bu kayıtlar Darkweb’de son derece para kazanılabilir” dedi. “Bu sadece borç tahsilat firmalarını değil, ödeme işlemcileri ve sigorta şirketlerini de içerecektir.”