UnitedHealth, Change Healthcare fidye yazılımı saldırısında 100 milyondan fazla kişinin kişisel bilgilerinin ve sağlık hizmeti verilerinin çalındığını ilk kez doğruladı ve bu, son yıllardaki en büyük sağlık hizmeti veri ihlali oldu.
Mayıs ayında UnitedHealth CEO’su Andrew Witty, kongrede yapılan bir duruşma sırasında, saldırıda Amerikalıların tüm sağlık verilerinin “belki de üçte birinin” açığa çıktığı konusunda uyardı.
Bir ay sonra Change Healthcare, Şubat ayında Change Healthcare’e yapılan fidye yazılımı saldırısının “Amerika’daki insanların önemli bir kısmı” için “önemli miktarda veriyi” açığa çıkardığına dair bir uyarı veren bir veri ihlali bildirimi yayınladı.
Bugün, ABD Sağlık ve İnsani Hizmetler Dairesi Sivil Haklar Bürosu veri ihlali portalı, etkilenen kişilerin toplam sayısını 100 milyona çıkardı; bu, Change Healthcare’in ana şirketi UnitedHealth’in ihlale ilişkin resmi bir rakamı ilk kez belirtmesi anlamına geliyor.
OCR web sitesinde güncellenmiş bir SSS şöyle yazıyor: “22 Ekim 2024’te Change Healthcare, OCR’a bu ihlalle ilgili yaklaşık 100 milyon bireysel bildirimin gönderildiğini bildirdi.”
Change Healthcare tarafından Haziran ayından bu yana gönderilen veri ihlali bildirimleri, Şubat ayındaki fidye yazılımı saldırısı sırasında büyük miktarda hassas bilginin çalındığını belirtiyor:
- Sağlık sigortası bilgileri (birincil, ikincil veya diğer sağlık planları/poliçeleri, sigorta şirketleri, üye/grup kimlik numaraları ve Medicaid-Medicare-devlet ödeyen kimlik numaraları gibi);
- Sağlık bilgileri (tıbbi kayıt numaraları, sağlayıcılar, teşhisler, ilaçlar, test sonuçları, görüntüler, bakım ve tedavi gibi);
- Faturalandırma, talepler ve ödeme bilgileri (talep numaraları, hesap numaraları, fatura kodları, ödeme kartları, mali ve banka bilgileri, yapılan ödemeler ve vadesi gelen bakiye gibi); ve/veya
- Sosyal Güvenlik numaraları, sürücü belgeleri veya devlet kimlik numaraları ya da pasaport numaraları gibi diğer kişisel bilgiler.
Bilgiler her birey için farklı olabilir ve herkesin tıbbi geçmişi açığa çıkmamıştır.
Change Healthcare fidye yazılımı saldırısı
Bu veri ihlali, Şubat ayında UnitedHealth’in yan kuruluşu Change Healthcare’e yapılan ve ABD sağlık sisteminde yaygın kesintilere yol açan fidye yazılımı saldırısından kaynaklandı.
Şirketin BT sistemlerindeki kesinti, doktorların ve eczanelerin talepte bulunmasını engelledi ve eczanelerin indirimli reçete kartlarını kabul etmesini engelleyerek hastaların ilaçlar için tam fiyat ödemesine neden oldu.
BlackCat fidye yazılımı çetesi, diğer adıyla ALPHV, çalıntı kimlik bilgilerini kullanarak şirketin çok faktörlü kimlik doğrulamanın etkin olmadığı Citrix uzaktan erişim hizmetini ihlal ederek saldırıyı gerçekleştirdi.
Saldırı sırasında tehdit aktörleri 6 TB veriyi çaldı ve sonuçta ağdaki bilgisayarları şifreleyerek şirketin saldırının yayılmasını önlemek için BT sistemlerini kapatmasına neden oldu.
UnitedHealth Grubu, şifre çözücüyü almak ve tehdit aktörlerinin çalınan verileri silmesi için fidye talebinde bulunduğunu itiraf etti. Saldırıyı gerçekleştiren BlackCat fidye yazılımı bağlı kuruluşuna göre fidye ödemesinin 22 milyon dolar olduğu iddia ediliyor.
Bu fidye ödemesinin bağlı kuruluş ve fidye yazılımı operasyonu arasında paylaştırılması gerekiyordu, ancak BlackCat aniden kapandı, ödemenin tamamını kendisi için çaldı ve bir çıkış dolandırıcılığı yaptı.
Ancak bu, Change Healthcare’in sorunlarının sonu değildi çünkü bağlı kuruluş, şirketin verilerinin hâlâ ellerinde olduğunu iddia etti ve söz verdiği gibi bu verileri silmedi. Ortak, RansomHub adlı yeni bir fidye yazılımı operasyonuyla ortaklık kurdu ve çalınan verilerin bir kısmını sızdırmaya başladı ve verilerin yayınlanmaması için ek bir ödeme talep etti.
RansomHub’un veri sızıntısı sitesindeki Change Healthcare girişi birkaç gün sonra gizemli bir şekilde ortadan kayboldu; bu muhtemelen United Health’in ikinci bir fidye talebini ödediğini gösteriyor.
UnitedHealth, Nisan ayında Change Healthcare fidye yazılımı saldırısının 872 milyon dolar zarara yol açtığını, bunun da 2024’ün üçüncü çeyreğindeki kazançların bir parçası olarak 30 Eylül 2024’e kadar olan dokuz ay için beklenen 2,45 milyar dolara yükseldiğini söyledi.