San Francisco merkezli popüler bir uluslararası hukuk firması olan Orrick, Herrington & Sutcliffe, yakın zamanda Orrick veri ihlali olayıyla sonuçlanan bir veri sızıntısı operasyonunun kurbanı oldu.
Mart 2023’te keşfedilen Orrick, Herrington & Sutcliffe veri ihlali, 637.000’den fazla veri ihlali kurbanına ait hassas sağlık bilgilerini açığa çıkardı.
Orrick’in ağına yapılan izinsiz giriş, dosya paylaşımının tehlikeye atılmasına ve kurbanların kişisel bilgilerinin ve hassas sağlık verilerinin açığa çıkmasına neden oldu. Etkilenen 637.620 kişi arasında Maine’de yaşayan 830 kişi de vardı.
Bilgisayar korsanlığının neden olduğu harici sistem ihlali olarak sınıflandırılan Orrick veri sızıntısı 28.02.2023 tarihinde meydana geldi ve keşif 13.03.2023 tarihinde bildirildi.
Orrick Veri İhlalinin Açıklaması
Çalınan veriler arasında isimler, doğum tarihleri, adresler, e-posta adresleri ve Sosyal Güvenlik, pasaport, ehliyet ve vergi kimlik numaraları gibi devlet tarafından verilen kimlik numaraları da dahil olmak üzere çok çeşitli bilgiler yer alıyordu.
Ayrıca tıbbi tedavi ayrıntıları, sigorta talep bilgileri, sağlık sigortası numaraları, sağlayıcı ayrıntıları, çevrimiçi hesap kimlik bilgileri ve kredi/banka kartı numaraları ele geçirildi.
Resmi başvuruya göre Orrick, etkilenen bireyleri 14.09.2023, 11.16.2023 ve 11.17.2023 tarihlerinde yazılı bildirimlerle bilgilendirerek derhal harekete geçti. Kimlik hırsızlığına karşı koruma hizmetleri, iki yıllık Kroll kimlik izleme hizmeti şeklinde sunuldu.
Orrick veri sızıntısı, Orrick’in hukuk danışmanlığı sağladığı diğer şirketlerdeki güvenlik olaylarıyla ilgili verileri de içeriyordu. Etkilenen müşteriler arasında EyeMed Vision Care’den görme planları, Delta Dental’den diş planları ve sağlık sigortası şirketi MultiPlan, davranışsal sağlık devi Beacon Health Options (şu anda Carelon olarak biliniyor) ve ABD Küçük İşletme İdaresi’nden veriler vardı.
Devam Eden Soruşturmalar ve Hukuki Sonuçları
Cyber Express, Orrick, Herrington & Sutcliffe veri ihlalinin doğası ve herhangi bir fidye yazılımı grubunun olup olmadığı hakkında daha fazla bilgi edinmek için hukuk firmasıyla iletişime geçti.
Ancak bu yazının yazıldığı sırada herhangi bir resmi açıklama veya yanıt kaydedilmemiş olması, Orrick, Herrington ve Sutcliffe’e siber saldırıyı başlatan bilgisayar korsanlarının kimliği konusunda şüpheye yer bırakmıyor.
Hukuk firması aynı zamanda müşterilerin kişisel bilgilerinin ele geçirildiği veri ihlalinden kaynaklanan toplu davayı da çözüme kavuşturma sürecindedir.
Yaşanan rahatsızlığı kabul eden firma, yüzbinlerce kurban olduğu iddia edilen dört birleştirilmiş davayı çözüme kavuşturmak için prensipte ilk anlaşmaya vardı.
Anlaşmanın ayrıntıları açıklanmasa da Orrick, şartları 15 gün içinde sonuçlandırmayı hedefliyor. ABD Bölge Hakimi Susan Illston’ın onayını bekleyen önerilen karar, binlerce kişinin isimleri, adresleri, doğum tarihleri ve Sosyal Güvenlik numaraları da dahil olmak üzere hassas bilgilerinin açığa çıkmasına neden olan ihlalle ilgili tüm iddiaları ele almayı amaçlıyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.