FBI, siber suçluların Las Vegas’taki bir plastik cerrahın ofisinden hastaların kayıtlarını çalabildiği ve daha sonra çıplak fotoğraflar da dahil olmak üzere ayrıntıları internette yayınlayabildiği bir veri ihlalini araştırıyor.
Şubat ayında siber suçlular, hem Henderson hem de Las Vegas’ta ofisleri bulunan Hankins & Sohn’un ağına erişim sağladı. Siber suçlular buradan hasta bilgilerini indirebildi.
Uygulama, Mart ve Nisan aylarında hastalara ihlali bildiren bir mektup gönderdi.
“23 Şubat 2023 tarihinde veya buna yakın bir tarihte Hankins & Sohn, bilinmeyen bir aktörün ağımızdan veri çalındığına dair iddialarıyla ilgili şüpheli faaliyetin farkına vardı. İddiaların geçerliliğini araştırmak, faaliyetin niteliğini ve kapsamını ve hangi bilgilerin etkilenmiş olabileceğini değerlendirmek için hızlı bir şekilde adımlar attık. Ayrıca etkinliği araştırmak için kolluk kuvvetleriyle birlikte çalışıyoruz. Bu tarihten önce dosyaların bilinmeyen bir kişi tarafından alındığını öğrendik.”
Görünüşe göre siber suçlular Hankins & Sohn’dan istediklerini alamadılar ve bilgileri internette yayınlamaya başladılar. Bazı hastalar ve mahkeme belgeleri, çalınan verilerin isimler ve Sosyal Güvenlik numaraları gibi hassas kişisel bilgilerin yanı sıra hastaların ameliyat öncesi ve sonrasında çekilmiş çıplak fotoğraflarını da içerdiğini söylüyor.
Siber suçlular bununla da yetinmedi. Verileri çıplak fotoğraflarla birlikte hastaların e-posta hesapları aracılığıyla ailelerine ve arkadaşlarına gönderdiler.
8NewsNow’a göre yaklaşık bir düzine kadın, özel ve kişisel bilgilerini korumak için yeterince çaba göstermediklerini iddia ederek firmaya karşı dava açtı. Çevrimiçi olarak gönderilen belgelerin hiçbiri şifrelenmedi. Pazartesi günü Hankins & Sohn’un verilerini HIPAA kurallarına göre saklayıp saklamadığı belli değildi. HIPAA ile ilgili soruşturmaları denetleyen ofisin sözcüsü yorum yapmaktan kaçındı.
HIPAA, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nın kısaltmasıdır. HIPAA, hassas hasta sağlık bilgilerinin hastanın izni veya bilgisi olmadan ifşa edilmesini önlemek için ulusal standartların oluşturulmasını gerektiren federal bir yasadır.
Kurbanlar, Hankins ve Sohn’un Kişisel Tanımlayıcı Bilgilerini (PII) ve Korunan sağlık bilgilerini (PHI) korumak için yeterli ve makul siber güvenlik prosedürlerini ve protokollerini uygulamada başarısız olduklarını iddia ediyor.
Veri ihlali
Bir veri ihlalinin kurbanıysanız veya mağdur olduğunuzdan şüpheleniyorsanız gerçekleştirebileceğiniz bazı eylemler vardır.
- Satıcının tavsiyelerini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sundukları özel tavsiyelere uyun.
- Şifreni değiştir. Çalınan bir şifreyi değiştirerek hırsızların işine yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için bir şifre seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı etkinleştirin. Mümkün olduğunda FIDO2 2FA cihazı kullanın. İki faktörlü kimlik doğrulamanın (2FA) bazı biçimleri, parola kadar kolay bir şekilde kimlik avına tabi tutulabilir. FIDO2 cihazına dayanan 2FA’ya kimlik avı yapılamaz.
- Sahte satıcılara dikkat edin. Hırsızlar satıcı kılığına girerek sizinle iletişime geçebilir. Kurbanlarla iletişime geçip geçmediklerini görmek için satıcının web sitesini kontrol edin ve farklı bir iletişim kanalı kullanarak herhangi bir kişiyi doğrulayın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve kaçırılan teslimatlar, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Kimlik Hırsızlığı Korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.