Reçete yönetim şirketi Sav-Rx, ABD’de 2,8 milyondan fazla kişiyi veri ihlaline uğradığı konusunda uyarıyor ve kişisel verilerinin 2023’teki bir siber saldırıda çalındığını belirtiyor.
Sav-RX olarak faaliyet gösteren A&A Services, ABD genelindeki işverenlere, sendikalara ve diğer kuruluşlara reçeteli ilaç yönetimi hizmetleri sağlayan bir eczane sosyal yardım yönetimi (PBM) şirketidir.
Cuma günü şirket, Maine Başsavcılığına Ekim 2023’te 2.812.336 kişinin verilerinin açığa çıkmasına neden olan bir siber güvenlik olayı bildirdi.
Etkilenen kişilere gönderilen bildirimde, “8 Ekim 2023’te bilgisayar ağımızda bir kesinti tespit ettik. Sonuç olarak, sistemlerimizin güvenliğini sağlamak için derhal gerekli adımları attık ve üçüncü taraf siber güvenlik uzmanlarıyla iletişime geçtik” deniyor.
“Bilgi teknolojisi sistemlerimiz (“BT Sistemi”) ertesi iş günü tekrar devreye alındı ve reçeteler gecikme olmaksızın zamanında gönderildi.”
Tıbbi reçetelerin veya eczane taleplerinin gönderilmesinde herhangi bir gecikme yaşanmaksızın, ticari operasyonlar üzerindeki etki minimumda tutuldu.
Sistemleri bir günde onarılırken kişisel verilerin çalınıp çalınmadığının araştırılması çok daha uzun sürdü.
Veri ihlali bildirimine göre soruşturma neredeyse sekiz ay sürdü ve üçüncü taraf uzmanların yardımıyla 30 Nisan 2024’te tamamlandı.
Bu araştırma, bilgisayar korsanlarının müşteri verilerine ilk olarak 3 Ekim 2023’te eriştiklerini ortaya çıkardı.
Sav-Rx, “Soruşturmanın bir parçası olarak, yetkisiz bir üçüncü tarafın belirli klinik olmayan sistemlere erişebildiğini ve kişisel bilgiler içeren dosyalar elde ettiğini öğrendik” dedi.
Bu olayda açığa çıkan veri türleri şunlardır:
- Ad Soyad
- Doğum tarihi
- Sosyal Güvenlik Numarası (SSN)
- E-posta adresi
- Fiziksel adres
- Telefon numarası
- Uygunluk verileri
- Sigorta kimlik numarası
Sav-Rx, sitesindeki bir SSS sayfasında, etkilenen müşterilere ihlal bildirimi göndermelerinin sekiz ay sürdüğünü, çünkü ilk önceliklerinin, olayın etkisine ilişkin bir soruşturma başlatmadan önce hasta bakımındaki kesintiyi en aza indirmek olduğunu açıkladı.
Sav-Rx ayrıca soruşturmaları sonuçlandırmak için acele etmediklerini ve mümkün olduğunca doğru sonuçlar elde etmeye çalıştıklarını da kaydetti. Sağlık planı müşterilerinin (etkilenen kuruluşlar) 30 Nisan ile 2 Mayıs 2024 arasında daha önce bilgilendirildiğini söylüyor.
Sav-Rx daha sonra ticari müşterileriyle etkilenen bireyleri bilgilendirmek için bir anlaşmaya vardı ve bu nedenle mektuplar geçen hafta sonlarında dağıtıldı.
Şirket, çoğu durumda bazı kişileri bilgilendirmek için yeterli iletişim bilgilerinin bulunmadığını belirtiyor, bu nedenle insanlardan etkilenip etkilenmediklerini 888-326-0815’i arayarak teyit etmeleri isteniyor.
Sav-Rx’in bu olaya yanıt olarak uyguladığı yeni güvenlik önlemleri arasında 7/24 güvenlik operasyon merkezi kurmak, kritik hesaplarda çok faktörlü kimlik doğrulama uygulamak, ağ bölümlendirme, gelişmiş coğrafi engelleme, yükseltilmiş güvenlik duvarları ve anahtarlar, güçlendirilmiş Linux güvenliği yer alıyor. ve BitLocker şifrelemesi.
Firmanın şu anda çalınan bilgilerin kötüye kullanıldığına veya karanlık ağda yayıldığına dair bir kanıtı olmamasına rağmen, mektuplara iki yıllık bir kredi izleme ve kimlik hırsızlığı koruma hizmetine kaydolmaya ilişkin talimatlar eklenmişti.
Çalınan veriler kimlik hırsızlığı için kullanılabilecek hassas bilgiler içerdiğinden, etkilenenlerin kredi raporlarını dolandırıcılık faaliyetleri açısından izlemeleri önemle tavsiye edilir.