Philadelphia Belediyesi, Mayıs 2024’te açıklanan ve Ekim ayında 35.000’den fazla kişinin kişisel ve korunan sağlık bilgilerini etkileyen bir ihlalin varlığını duyurdu.
Soruşturmada saldırganların 26 Mayıs 2023 ile 28 Temmuz 2023 tarihleri arasında birden fazla e-posta hesabına erişim sağladığı tespit edildi.
Şehir, Ekim ayında veri ihlalini açıkladığında, etkilenen bireyler için ifşa edilen bilgi türlerini de açıkladı; bunlar şunları içerir:
- ad, adres, doğum tarihi gibi demografik bilgiler,
- sosyal güvenlik numarası ve diğer iletişim bilgileri;
- tanı ve tedaviyle ilgili diğer bilgiler gibi tıbbi bilgiler;
- ve sınırlı finansal bilgiler, örneğin talep bilgileri.
Şehir, Maine Başsavcılığı’na yaptığı açıklamada, veri ihlalinin 35.881 kişiyi etkilediğini söyledi.
İhlalde kişisel verileri (isim, adres, Sosyal Güvenlik numarası ve finansal hesap bilgileri dahil) ifşa olan etkilenen kişilere 8 Temmuz Pazartesi günü bildirimde bulunuldu.
Şehir ayrıca 16 Mayıs’ta ihlal nedeniyle korunan sağlık bilgileri ifşa olan kişilere veri ihlali bildirimleri gönderdi.
Etkilenen kişilere gönderilen ihlal bildirim mektuplarında, “Fazla tedbirli davranarak, hangi bilgilerin potansiyel olarak erişilebilir olduğunu ve bu bilgilerin kimlerle ilgili olduğunu belirlemek için kapsamlı ve derinlemesine bir inceleme gerçekleştirdik” ifadeleri yer aldı.
“Tamamlandığında, sonuçları doğrulamak ve potansiyel olarak etkilenenler için eksik adres bilgilerini bulmak için de çalıştık. Bu süreci yakın zamanda tamamladık ve ardından mümkün olan en kısa sürede bildirimde bulunmak için çalıştık.”
Şehir, federal kolluk kuvvetlerini ihlal konusunda bilgilendirdi, çalışanları için güvenlik önlemlerini ve eğitimleri iyileştiriyor ve etkilenen kişilere 12 ay boyunca ücretsiz kredi izleme hizmetleri sunuyor.
Ayrıca kimlik hırsızlığı ve dolandırıcılığa karşı kendilerini daha iyi korumaları için rehberlik alacaklar; şüpheli olayları bankalarına, kredi kartı şirketlerine veya diğer ilgili kuruluşlara bildirmeleri konusunda tavsiyeler de verilecek.
Kent yetkilileri, saldırganların kentin e-posta hesaplarına nasıl eriştiklerini ve ifşayı neden beş ay geciktirdiklerini henüz açıklamadı.
Şehrin Davranışsal Sağlık ve Zihinsel Engellilik Hizmetleri Departmanı (DBHIDS) da dört yıl önce, Haziran 2020’de, hizmet verdiği kişilerin kişisel sağlık bilgilerinin bir kimlik avı saldırısında tehlikeye atılmasının ardından bir HIPAA ihlalini ifşa etmişti.
Kuruluşun internet sitesinde yayımlanan ihlal bildiriminde, saldırganların 31 Mart-15 Kasım 2020 tarihleri arasında DBHIDS ve Toplum Davranışsal Sağlık çalışanlarının ele geçirilen e-posta hesaplarına eriştiği ortaya çıktı.