Sağlık yönetimi çözümleri sağlayıcısı HealthEC LLC, şirketin müşterilerinden biri aracılığıyla bakım alan 4,5 milyona yakın kişiyi etkileyen bir veri ihlaline maruz kaldı.
HealthEC, sağlık kuruluşlarının veri entegrasyonu, analitik, bakım koordinasyonu, hasta katılımı, uyumluluk ve raporlama için kullanabileceği bir nüfus sağlığı yönetimi (PHM) platformu sağlar.
22 Aralık’ta firma, 14-23 Temmuz 2023 tarihleri arasında bazı sistemlerine yetkisiz erişimle sonuçlanan bir veri ihlali yaşadığını açıkladı.
Olayla ilgili soruşturma 24 Ekim 2023’te tamamlandı ve saldırganın, aşağıdaki veri türlerini barındıran, ihlal edilen sistemlerden dosya çaldığı ortaya çıktı:
- İsim
- Adres
- Doğum tarihi
- Sosyal Güvenlik numarası
- Vergi Kimlik Numarası
- Tıbbi kayıt numarası
- Tıbbi bilgiler (teşhis, teşhis kodu, zihinsel/fiziksel durum, reçete bilgileri ve sağlayıcının adı ve yeri)
- Sağlık sigortası bilgileri (yararlanıcı numarası, abone numarası, Medicaid/Medicare kimliği)
- Fatura ve talep bilgileri (hasta hesap numarası, hasta kimlik numarası ve tedavi maliyeti bilgileri)
HealthEC’in bildiriminde “Genel olarak bireyler, hesap özetlerini, fayda bildirimlerinin açıklamalarını inceleyerek ve şüpheli faaliyetler için ücretsiz kredi raporlarını izleyerek ve hataları tespit ederek kimlik hırsızlığı ve dolandırıcılık olaylarına karşı uyanık kalmalıdır.”
Şirket, “şüpheli faaliyetlerin sigorta şirketi, sağlık hizmeti sağlayıcısı ve/veya finans kurumu dahil olmak üzere ilgili taraflara derhal bildirilmesi gerektiğini” tavsiye ediyor.
Siber saldırı sırasında HealthEC, izinsiz girişten kaç kişinin etkilendiğini belirtmedi ancak Maine Başsavcılığı’na yapılan ve firmanın müşterilerinden sadece biri olan MD Valuecare ile ilgili yapılan bir sunumda etkilenen kişi sayısı 112.005 olarak belirlendi.
ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın ihlal portalında bugün erken saatlerde ortaya çıkan yeni bir liste, daha büyük resmi gösteriyor ve etkilenen toplam kişi sayısının 4.452.782 olduğunu bildiriyor.
HealthEC teknoloji çözümleri sağlayıcısına yönelik siber saldırıdan etkilenen 17 sağlık hizmeti sağlayıcısı ve eyalet düzeyinde sağlık sistemi bulunuyor.
Bildiride listelenen bazı önemli kuruluşlar arasında Corewell Health, HonorHealth, Beaumont ACO, Tennessee Eyaleti – TennCare Bölümü, Princeton Doktorlar Organizasyonu Üniversite Tıp Merkezi ve New York Entegre Bakım İttifakı bulunmaktadır.