Enterprise BT sağlayıcısında yanlış yapılandırılmış bir veritabanı Serviceaide, New York merkezli kar amacı gütmeyen bir sağlık sistemi olan Katolik Sağlık ile bağlantılı yaklaşık 500.000 (483,126) hastaya ait hassas sağlık ve kişisel bilgileri ortaya çıkarmıştır.
Serviceaide, web sitesinde yayınlanan bir bildirimde veri sızıntısını doğruladı ve olaydan kaynaklanan bir elasticsearch veritabanından kaynaklandığını belirtti. Maruz kalma 19 Eylül ve 5 Kasım 2024 arasında meydana geldi. Sızıntı 15 Kasım 2024’te keşfedildi ve tam bir inceleme son zamanlarda tamamlandı.
Verilerin indirildiğine veya kötüye kullanıldığına dair doğrulanmış bir kanıt olmamasına rağmen, şirket bu olasılığı göz ardı edemeyeceğini itiraf etti.
Riske ne vardı?
Maruz kalan veritabanı çok çeşitli hassas detaylar içeriyordu. Bireye bağlı olarak, veriler şunları içerebilir:
- Tam İsimler
- Doğum tarihleri
- Reçete verileri
- Sosyal Güvenlik Numaraları
- Sağlık Sigortası Detayları
- Sağlık Sağlayıcısı Bilgileri
- Tedavi ve klinik bilgiler
- Tıbbi kayıt ve hesap numaraları
- E -posta adresleri, kullanıcı adları ve şifreler
Serviceaide, geçerli posta adreslerine sahip olan etkilenen kişilere bildirim mektupları gönderiyor.
Uzman içgörü
Keeper Security CEO’su Darren Guccione, sızıntının daha geniş etkileri hakkında yorum yaptı.
Guccione, “Bu olayda maruz kalan sağlık ve kişisel verilerin hacmi sektörde daha büyük bir soruna işaret ediyor. Bunun gibi ihlallerin, özellikle gelişen düzenlemeler ve verilerin hatta nasıl kullanılabileceğini izlemedeki zorluklarla tam olarak değerlendirilmesi yıllar alıyor” dedi.
Hemen sahtekarlık belirtileri olmasa da, maruz kalan bilgi türünün ihlalden çok sonra yeniden kullanılabileceğini ve kurbanların şimdi koruyucu eylemde bulunmasını sağladığını belirtti.
Hastalar için sonraki adımlar
Serviceaide, etkilenenlerin kredi raporlarını izlemelerini, tıbbi hesaplarıyla bağlantılı şifreleri değiştirmelerini ve kredilerini dondurmayı düşünmelerini önerir. Ücretsiz kredi raporlarına yıllık Creditreport.com aracılığıyla veya 1-877-322-8228 numaralı telefonu arayarak erişilebilir.
Daha fazla ayrıntı her şirketin web sitesinde bulunabilir.
Serviceaide, maruz kalan veritabanını güvence altına almak için adımlar attı ve gelecekteki olayların riskini azaltmak için yeni güvenlik protokolleri eklediğini söyledi. Ayrıca, Sivil Haklar İhlali Ofisinde ihlali kamuya açıklayan Sağlık ve İnsan Hizmetleri Bakanlığı da dahil olmak üzere federal düzenleyicilerle birlikte çalışıyor.
Bu olay, büyük miktarda hassas veri ele alırken üçüncü taraf sistemlerini sıkı bir şekilde güvence altına alarak sağlık hizmetleri arasında sürekli bir zorluk göstermeye devam ediyor. Sağlık hizmeti sağlayıcıları ve satıcılar çevrimiçi altyapılarını güvence altına almak için çalışıyor olsalar da, tek bir yapılandırma hatası hastaları uzun vadeli risklere maruz bırakabilir.