Büyük sağlık verileri ihlali, çalışanların e -postasında kimlik avı yemiyle başladı
Marianne Kolbasuk McGee (Healthinfosec) •
24 Mart 2025
En büyük ABD’li tekerlekli sandalye sağlayıcılarından ve sağlıkla ilgili diğer hareketlilik ürünleri olan Tennessee merkezli Numotion, kişisel ve sağlıkla ilgili bilgilerini potansiyel olarak tehlikeye atan 2024 e-posta hackleme olayından yaklaşık 500.000 kişiyi bilgilendiriyor.
Ayrıca bakınız: AI, Otomasyon ve Uyum: Bankacılık Risk Yönetiminde Yeni Sınır
United Seating and Mobility, Numotion ismi altında faaliyet gösteren LLC, 7 Mart’ta federal düzenleyicilere hack/BT olayı 494.326 kişiyi etkilediğini bildirdi.
Şirket, web sitesinde yayınlanan bir ihlal bildiriminde, hack’in 2 Eylül 2024 ile 18 Kasım 2024 arasında birkaç kez yetkilendirilmeden çalışan e -posta hesaplarına “birine” erişmesine yol açan bir kimlik avı e -postası tarafından tetiklendiğini söyledi.
Meydan okumuş olabilecek bilgiler bireyler arasında değişir, ancak isimler, doğum tarihleri, ürün bilgileri, ödeme ve finansal hesap bilgileri, sağlık sigortası bilgileri ve tıbbi bilgileri içerebilir. Bireylerin “azınlığı” için sosyal güvenlik numaraları ve ehliyet numaraları da etkilendi.
Şirket, “Numotion’ın herkesin hesaplardaki kişisel bilgilere erişmeye çalıştığına inanmak için hiçbir nedeni yok ve sahtekarlık veya kimlik hırsızlığı için herhangi bir bilginin kullanıldığına dair bir gösterge yok.” Dedi. Numotion, sosyal güvenlik numaraları etkilenen kişilere ücretsiz kredi ve kimlik izleme teklif edildiğini söyledi.
Bilgi Güvenliği Medya Grubu’na yapılan açıklamada, olayın keşfedilmesinden sonra şirketin etkilenen hesapları derhal güvence altına aldığını ve iç soruşturma başlattığını söyledi.
Şirket, “E -posta ve bilgisayar sistemlerimizin güvenliğini sağlamak için, kapsamlı bir inceleme yapmak için bir adli güvenlik firması yaptık. Olaydan başka hiçbir sistemin etkilenmediğini doğrulamaktan memnuniyet duyuyoruz.” Dedi.
ISMG’ye verdiği demeçte, olayın ardından NUTOITION, “ortaya çıkan tehditlerin önünde kalmak için” teknik güvenlik önlemlerini incelemeye ve geliştirmeye devam ediyor.
Pazartesi itibariyle, NUTIONT, veri ihlalini içeren en az beş federal sınıf eylem davası ile karşılaşmış gibi görünüyordu.
Şikayetler, şirketin bireylerin hassas bilgilerini düzgün bir şekilde güvence altına alamadığı, davacıları ve sınıf üyelerini kimlik hırsızlığı ve sahtekarlık riskine sokma konusunda ihmalkar olduğu iddiaları da dahil olmak üzere, sayıya karşı benzer iddialarda bulunuyor. Davalar ayrıca, finansal hasarlar ve veri güvenliği uygulamalarını iyileştirmek için sayım için bir ihtiyati tedbir emri de dahil olmak üzere benzer bir rahatlama istemektedir.
Numotion, ISMG’nin şirketin karşılaştığı önerilen sınıf eylem davaları hakkında yorum talebini reddetti.
E -posta ihlallerini önlemek
Pazartesi itibariyle, NUTOISTE olayı, 2025’te ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na bildirilen üçüncü en büyük sağlık veri ihlali idi ve bu yıl sağlık verilerinin en büyüğü HHS’ye e -posta dahil olarak bildirildi.
Güvenlik firması Paubox, yakın tarihli bir araştırma raporunda, 1 Ocak 2024 ve 31 Ocak 2025 arasında, e -posta uzlaşmalarını içerdiği bildirilen HHS Sivil Haklar’ın HIPAA İhlal Raporlama Aracı Ofisi’nde yayınlanan 180 büyük sağlık verisi ihlalini analiz etti.
E -posta içeren ihlallerde kullanılan en yaygın saldırı yöntemleri, kimlik avı, kimlik kurma veya taklit etme ve kimlik bilgisi hırsızlığı içerir. Saldırganlar, kötü amaçlı yazılım ve fidye yazılımı dağıtmak için sıklıkla e -posta eklerini kullanırlar. HHS OCR ihlali rapor verilerinin analizine göre, 2018’den bu yana, sağlık kuruluşlarına yönelik fidye yazılımı saldırıları%264 arttı.
İlgili bir ankette Paubox, bilinen kimlik avı saldırılarının sadece% 5’inin çalışanlar tarafından BT güvenlik ekiplerine bildirildiğini bulmuştur.
Paubox CEO’su ISMG’ye verdiği demeçte, “Ne yazık ki, veriler net bir eğilim ortaya koyuyor – e -posta yoluyla HIPAA ihlalleri her yıl artıyor. AI’daki ilerlemeler kötü aktörler tarafından hızla seçildiğinden, eğilimin devam etmesi bekleniyor.” Dedi.
Greevy, e -posta uzlaşmalarını önlemeye yardımcı olmak için kuruluşların kuruluş içindeki tüm posta kutularında zorunlu çok faktörlü kimlik doğrulama uygulaması önemlidir ve bazı ek hususlar alınmıştır. “Google Authenticator gibi bir kimlik doğrulayıcı uygulamasının kullanılması önerilir. Metin yoluyla bir MFA kodu gönderilmesi SIM değiştirmeye duyarlıdır.” Dedi.
“Sim kaçırma olarak da bilinen bu saldırı, bir kurbanın telefon numarasını hileli bir şekilde kötü bir aktör tarafından kontrol edilen bir SIM karta aktarmayı ve MFA için kullanılan güvenlik kodlarını içerenler de dahil olmak üzere kurban için amaçlanan çağrı ve metinler almalarına izin veriyor.”
Paubox’un raporu için analiz ettiği HHS OCR’ye bildirilen e -postaları içeren sağlık verileri ihlallerinden% 43.3’ü Microsoft 365’i e -posta güvenlik sağlayıcısı olarak içeriyordu; % 15’i prova noktası; % 13’ü Barracuda; % 12’si Mimecast; ve% 6 Google çalışma alanı.
Greevy, 2025 Paubox Healthcare E -posta Güvenlik Raporunda, e -posta yoluyla bir HIPAA ihlali bildiren sağlık kuruluşlarının% 43’ünden fazlasının yalnızca Microsoft 365’i kullanmadığını, ek savunma katmanı olmadan kullandığını söyledi.
Kuruluşlar, tüm e -posta hesapları için MFA’yı zorlamalı ve hem gelen hem de giden e -posta için ek savunma katmanları uygulamalıdır.
Kuruluşlar ayrıca gönderen politika çerçevelerinin olmasını sağlamalıdır; Etki Alanı Anahtarları Belirlenen Posta; Ve etki alanı tabanlı mesaj kimlik doğrulaması, raporlama ve uygunluk kayıtları doğru bir şekilde yapılandırıldı. “Doğru yapılandırıldığında, bu kayıtlar kötü aktörlerin kuruluşunuzun alan adlarını e -posta yoluyla taklit etmesini engeller.”