İki Fransız sağlık ödeme hizmeti sağlayıcısı Viamedis ve Almerys’teki veri ihlallerinin ülkede 33 milyondan fazla insanı etkilediği belirlendi.
Viamedis ve Almerys, işlemleri kolaylaştıracak teknolojik ve idari çözümlerle Fransa’da sağlık ve sigorta hizmetleri sunuyor.
Geri ödemelerin yapılması için poliçe sahiplerine ait hassas verileri yönetiyorlar ve genel olarak Fransa’nın karmaşık, çok katmanlı sigorta kapsamı sistemindeki ödeme sürecini kolaylaştırıyorlar.
Viamedis, siber güvenlik olayını ilk olarak bir hafta önce LinkedIn’de açıkladı (şirketin web sitesi kapalı), yararlanıcıları ve sağlık profesyonellerini etkileyen bir veri ihlaline maruz kaldığını söyledi.
Şirket, ifşa edilen bilgilerin isimleri, doğum tarihlerini, sigortacı ayrıntılarını, sosyal güvenlik numaralarını, medeni durumu, medeni durumu ve üçüncü tarafların ödemesine açık garantileri içerdiğini söyledi.
Viamedis’in ihlal edilen sistemlerde bu tür verileri saklamadığını söylediği için hiçbir banka bilgisi, e-posta adresi, posta bilgisi veya telefon numarası açığa çıkmadı.
Şirket, hizmetlerini kullanan 84 sağlık kuruluşu aracılığıyla 20 milyon sigortalıya hizmet veriyor ancak olaydan kaç kişinin etkilendiğini açıklamamayı tercih ederek konunun araştırıldığını söyledi.
Almerys’e yönelik ihlal ilk olarak yerel haber kuruluşları tarafından isimsiz kaynaklara dayandırılarak bildirildi ve firma henüz olayla ilgili resmi bir açıklama yayınlamadı.
Ancak Fransa’daki veri koruma otoritesi (CNIL) artık her iki veri ihlalini de doğruladı ve saldırıların ülkede 33 milyon insanı etkilediğini söyledi.
Duyuruda “CNIL, Viamedis ve Almerys tarafından Ocak ayının sonunda mağdur oldukları siber saldırı konusunda bilgilendirildi” denildi.
“Ek sağlık sigortası için üçüncü taraf ödemelerini yöneten bu operatörler, bu ihlal sırasında görevleri için gerekli verilerin ele geçirildiğini gördü. Toplamda bu veri sızıntısı 33 milyondan fazla insanı ilgilendiriyor.”
Bu durum, olayı ülkenin yakın tarihindeki en etkili siber saldırılardan biri haline getiriyor ve neredeyse tüm nüfusun yarısını etkiliyor.
Açığa çıkan veriler finansal bilgileri içermese de, açığa çıkan kişiler için kimlik avı dolandırıcılığı, sosyal mühendislik, kimlik hırsızlığı ve sigorta dolandırıcılığı riskini artırmak için hala yeterli.
CNIL, Viamedis ve Almerys’in, Genel Veri Koruma Yönetmeliği’nin (GDPR) gerektirdiği şekilde etkilenen kişileri doğrudan ve bireysel olarak bilgilendirmesini sağlayacağını belirtiyor.
Etkilenenler arasında olduğunuzdan şüpheleniyorsanız, hesaplarınızı yakından takip etmeniz ve gelen iletişimlere, özellikle de sağlık sigortası masraflarının geri ödenmesine ilişkin taleplere şüpheyle yaklaşmanız önerilir.
CNIL, “İletişim verileri ihlalden etkilenmemiş olsa da, ihlale dahil olan verilerin önceki veri sızıntılarından elde edilen diğer bilgilerle birleştirilmesi mümkündür” uyarısında bulunuyor.
Son olarak veri koruma yetkilisi, iki şirket için hangi güvenlik önlemlerinin alındığını ve GDPR yükümlülüklerinin yerine getirilip getirilmediğini belirlemek amacıyla bu olayla ilgili bir soruşturma başlatıldığını duyurdu.