İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Sağlık Hizmetleri
InfoSys McCamish Systems Daha Önce 57.000 Bank of America Müşterisini İhlal Konusunda Uyardı
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
28 Haziran 2024
Sigorta yazılımı ürün ve hizmetleri sağlayıcısı Infosys McCamish Systems, yaklaşık 6,1 milyon kişiyi 2023’te Sosyal Güvenlik numaraları, tıbbi tedavi, finansal ve biyometrik bilgiler de dahil olmak üzere hassas verilerini içeren bir fidye yazılımı olayı hakkında bilgilendiriyor.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
IMS, Perşembe günü Maine başsavcısına yayınladığı raporda, 2 Kasım 2023’te keşfedilen bilgisayar korsanlığı olayının 11.866 Maine sakini de dahil olmak üzere yaklaşık 6,08 milyon kişiyi etkilediğini bildirdi.
InfoSys BPM Limited’in Atlanta merkezli bir yan kuruluşu olan IMS, belirli IMS sistemleri ve uygulamalarının “kullanılamamasını” içeren bir siber güvenlik olayını bildirmek için 3 Kasım 2023’te ABD Menkul Kıymetler ve Borsa Komisyonu’na bir bildirimde bulundu.
IMS, internet sitesinde yayınladığı duyuruda, 2 Kasım 2023’te bazı IMS sistemlerinin fidye yazılımıyla şifrelendiğini öğrendiğini belirtti.
Açıklamada, “IMS aynı gün, dış hukuk müşavirleri aracılığıyla tutulan üçüncü taraf siber güvenlik uzmanlarının yardımıyla, faaliyetin niteliğini ve kapsamını belirlemek, kontrol altına almaya yardımcı olmak ve yetkisiz faaliyetlerin devam etmemesini sağlamak amacıyla bir soruşturma başlattı” denildi.
IMS ayrıca kolluk kuvvetlerine derhal bilgi verdiğini söyledi. Şirket, olayın o zamandan beri kontrol altına alındığını ve düzeltildiğini söyledi. Siber adli tıp soruşturması, 29 Ekim ile 2 Kasım 2023 tarihleri arasında yetkisiz faaliyetlerin gerçekleştiğini belirledi.
Şubat ayında IMS, Maine başsavcısına olayın müşteri Bank of America’yı ve yaklaşık 57.000 ertelenmiş tazminat planı müşterisini etkilediğini bildirdi (bkz: Yazılım Hizmetleri Firmasındaki Hack, 57.000 BoA Müşterisini Etkiledi).
Şirketin Maine düzenleyicilerine sunduğu son ihlal raporuna göre, o tarihten bu yana IMS’nin devam eden soruşturması ve “söz konusu verilerin kapsamlı ve zaman alıcı incelemesi”, yetkisiz erişime ve edinime konu olan kişisel bilgilerin kapsamını belirledi.
İhlal bildiriminde, “IMS, müşterilerine kurumsal ve ticari piyasa operasyonları sağlamanın bir parçası olarak çok sayıda kuruluş adına veri işliyor” denildi.
“IMS, verileri yetkisiz erişime ve ele geçirmeye konu olan müşterilere bildirimde bulunmuştur. IMS’nin veri sahibi olarak kabul edildiği durumlarda IMS, kişisel bilgileri yetkisiz erişime ve ele geçirmeye konu olan kişileri bilgilendirme sürecindedir.”
Şirketin soruşturması, olayda ele geçirilen verilerin arasında Sosyal Güvenlik numarası, doğum tarihi, tıbbi tedavi ve kayıt bilgileri, biyometrik veriler, e-posta adresi ve şifre, ehliyet numarası veya devlet kimlik numarası, mali hesap bilgileri, ödeme kartı bilgileri, pasaport numarası, kabile kimlik numarası ve ABD askeri kimlik numarası.
IMS, olaydan bu yana etkilenen kişilerin kişisel bilgilerinin dolandırıcılık amacıyla kullanıldığına dair herhangi bir örnekten haberdar olmadığını söyledi. Bununla birlikte, IMS etkilenen kişilere 24 ay ücretsiz kimlik ve kredi izleme hizmeti sunuyor.
Şirket ayrıca gelecekte benzer bir olayın meydana gelme olasılığını azaltmak için önlemler aldığını söyledi. IMS, ihlal bildiriminde “Siber güvenlik duruşumuzu güçlendiren ek iyileştirmeler yapmaya devam ediyoruz” dedi.
Bekleyen Dava
IMS hâlihazırda önerilen en az iki federal toplu dava davasıyla karşı karşıya bulunuyor ve bu davalar Mayıs ayında ABD Georgia Kuzey Bölgesi Bölge Mahkemesinde bilgisayar korsanlığı olayıyla ilgili açılan tek bir davada birleştirildi. Bu davalar, ihlalden etkilenen Bank of America müşterisi olan iki davacı tarafından Mart ve Mayıs aylarında açıldı.
Birleştirilmiş davadaki şikayet, diğer iddiaların yanı sıra, IMS’nin davacıların ve grup üyelerinin hassas kişisel kimlik bilgilerini koruma konusunda ihmalkar davrandığını iddia ediyor.
Davada, IMS’nin kapsamlı bir bilgi güvenliği programı uygulaması ve sürdürmesi de dahil olmak üzere siber uygulamalarını ve kontrollerini iyileştirmesini gerektiren maddi tazminatın yanı sıra ihtiyati tedbir talep ediliyor.
Maine başsavcısına sunduğu son ihlal raporunda IMS’yi temsil eden bir avukat, Information Security Media Group’un, Bank of America dışında kaç başka müşterinin saldırıdan etkilendiği de dahil olmak üzere olayla ilgili ek bilgi talebine hemen yanıt vermedi.
IMS, geçen hafta gelirinin sekiz yılın ardından ilk kez düştüğünü, 31 Aralık 2023’te sona eren yılda %4,3 düşerek 442 milyon dolara gerilediğini bildirdi.
Hindistan’ın iş dünyası haberleri sitesi LiveMint’in haberine göre şirket, yıkıcı siber saldırının çözümünün 30 milyon dolara mal olduğunu söyledi.