Önde gelen kanser tarama ve hassas ilaç şirketi Guardant Health, hassas hasta bilgilerinin üç yıldan fazla bir süre boyunca çevrimiçi olarak halka açık kalmasına neden olan bir veri ihlalini açıkladı.
500.000’den fazla kan testi gerçekleştiren Kaliforniya merkezli firma, açıklanmayan sayıda kişiye, bir çalışanın yanlışlıkla özel tıbbi verilerini ifşa ettiğini bildiriyor.
Hasta adlarını, yaşlarını, tıbbi kayıt numaralarını, tedavi ayrıntılarını ve test sonuçlarını içeren veriler, 2019’un sonlarında ve 2020’de toplanan numunelerle ilgiliydi.
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers
Guardant, bilgilerin bir çalışan tarafından yanlışlıkla yüklendiğini ve keşfedilmeden önce 5 Ekim 2020’den 29 Şubat 2024’e kadar açıkta bırakıldığını itiraf ediyor
Yetkisiz Üçüncü Tarafların Eriştiği
İhlalin ciddiyetini artıran Guardant, ifşa edilen hasta verilerine 8 Eylül 2023 ile 28 Şubat 2024 tarihleri arasında “tanımlanamayan üçüncü taraflar” tarafından erişildiği ve kopyalandığı konusunda uyarıyor.
BitDefender raporlarına göre bu durum, etkilenen kanser hastaları için potansiyel dolandırıcılık, kimlik hırsızlığı ve mahremiyet ihlalleri konusunda ciddi endişelere yol açıyor.
Etkilenen kişilerin birçoğu, örnekleri doktorları ve hastaneleri tarafından test edilmek üzere gönderildiğinden, Guardant’ın verilerini sakladığından bile muhtemelen habersizdir.
Şirket, mali bilgilerin ve Sosyal Güvenlik numaralarının yer almadığını belirtirken, suçlular hassas tıbbi verilerden tek başına yararlanabiliyor.
Guardant, etkilenen toplam hasta sayısını açıklamadı veya bu kadar göze çarpan bir güvenlik açığının bu kadar uzun süre nasıl fark edilmediğini açıklamadı.
Şirket, hastalara tıbbi beyanlarında herhangi bir usulsüzlük olup olmadığını takip etmelerini tavsiye ediyor ancak bu genel kılavuz çok az güvence sağlıyor.
Guardant Health’teki ihlal, üçüncü taraf satıcıların, uygun güvenlik kontrolleri olmadığında hastaların son derece kişisel tıbbi verilerini nasıl riske atabileceğinin en son örneğidir.
Sağlık hizmeti veri ihlallerinin sıklığı ve maliyetleri hızla artarken, hassas hasta bilgilerinin emanet edildiği şirketlerin veri korumasına öncelik vermesi gerekiyor.
Bu olayın sonucunda Guardant Health şu anda olası yasal işlemlerle, mali cezalarla ve hastanın güvenini kaybetmeyle karşı karşıyadır.
Hukuk firmaları, etkilenen kişiler adına ihlali araştırdıklarını zaten duyurdular.
Bu ihlal, dijital sağlık verileri çağında, tek bir çalışanın yaptığı bir hatanın savunmasız hastalar için yıkıcı mahremiyet sonuçları doğurabileceğinin talihsiz bir hatırlatıcısıdır.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide