Sağlık kuruluşlarının önde gelen faturalandırma sağlayıcılarından Medusind, bir yıldan uzun bir süre önce, Aralık 2023’te yüz binlerce kişiye, kişisel ve sağlık bilgilerinin açığa çıkmasına neden olan bir veri ihlali konusunda bildirimde bulunuyor.
Miami merkezli şirket, Amerika Birleşik Devletleri ve Hindistan’da 12 lokasyonda faaliyet gösteriyor ve aynı zamanda 6.000’den fazla sağlık hizmeti sağlayıcısına gelir döngüsü yönetimi hizmetleri sağlayarak, işletme maliyetlerini azaltmalarına ve geliri en üst düzeye çıkarmalarına yardımcı oluyor.
Medisund, Maine Başsavcılığı’na sunduğu bir veri ihlali bildirim mektubunda, ihlali bir yıldan uzun bir süre önce, yani Aralık 2023’te, ağında şüpheli etkinlik tespit ettikten sonra tespit ettiğini söyledi.
İhlal bildirimine göre, “Şüpheli aktiviteyi keşfettikten sonra Medusind, etkilenen sistemleri çevrimdışına aldı ve bir soruşturma yürütmek üzere önde gelen bir siber güvenlik adli tıp firmasını işe aldı.”
“Bu soruşturma sonucunda bir siber suçlunun kişisel bilgilerinizi içeren belirli dosyaların bir kopyasını ele geçirmiş olabileceğine dair kanıt bulduk.”
Maine başvurusunda şirket, Aralık 2023’teki ihlalin 360.934 kişinin kişisel ve sağlık bilgilerini etkilediğini ortaya çıkardı.
Olayda açığa çıkan belgeler aşağıdaki veri türlerini içeriyordu, ancak etkilenen bilgiler etkilenen kişiye göre değişiklik gösteriyor:
- sağlık sigortası ve fatura bilgileri (sigorta poliçe numaraları veya talep/yardım bilgileri gibi),
- ödeme bilgileri (banka/kredi kartı numaraları veya banka hesap bilgileri gibi),
- sağlık bilgileri (tıbbi geçmiş, tıbbi kayıt numarası veya reçete bilgileri gibi),
- resmi kimlik (Sosyal Güvenlik numarası, vergi mükellefi kimliği, sürücü belgesi veya pasaport numarası gibi),
- ve diğer kişisel bilgiler (doğum tarihi, e-posta adresi, adres veya telefon numarası gibi).
Medusind, bu veri ihlalinden etkilenenlere, kredi izleme, dolandırıcılık danışmanlığı ve kimlik hırsızlığını onarma dahil olmak üzere iki yıllık ücretsiz Kroll kimlik izleme hizmetleri sunuyor.
Ayrıca, olası kimlik hırsızlığı ve dolandırıcılık girişimlerine karşı hesap özetlerini takip etmeleri ve yetkisiz veya şüpheli faaliyetlere karşı kredi raporlarını izlemeleri konusunda da onları uyardı.
Bu bildirimler, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın (HHS), büyük sağlık güvenliği ihlalleri ve verilerinde yaşanan artışın ardından hastaların sağlık verilerini güvence altına almak için Aralık 2024’ün sonlarında 1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nda (HIPAA) güncellemeler önermesinin ardından geldi. Son yıllarda hastaneleri ve Amerikalıları etkileyen sızıntılar.
Bu yenilenen siber güvenlik kuralları, sağlık kuruluşlarına Amerikalıların korunan sağlık bilgilerini (PHI) şifrelemeyi, mümkün olan her yerde çok faktörlü kimlik doğrulamayı uygulamayı ve siber suçluların bunlar arasında yanal olarak hareket etmesini zorlaştırmak için ağları bölümlere ayırmayı zorunlu kılıyor.
ABD’nin en büyük özel sağlık sistemlerinden biri olan Ascension, geçtiğimiz günlerde yaklaşık 5,6 milyon kişiyi, verilerinin Black Basta fidye yazılımı çetesi tarafından Mayıs ayında gerçekleştirilen bir siber saldırıda çalındığı konusunda uyardı.
Ekim ayında UnitedHealth, 100 milyondan fazla insanı etkileyen Şubat ayındaki Change Healthcare fidye yazılımı saldırısından kaynaklanan son yıllardaki en önemli sağlık hizmeti ihlalini doğruladı.