Amerika’nın en büyük sperm donör depolarından biri olan California Cryobank LLC, hassas müşteri bilgilerini ortaya çıkaran önemli bir veri ihlalini doğruladı.
20 Nisan 2024’te meydana gelen, ancak 4 Ekim 2024’e kadar tespit edilmeyen siber saldırı, 14 Mart 2025’te müşterilere gönderilen resmi bildirimlerle, birden fazla eyalette etkilenen bireylere zorunlu ihlal bildirimlerini tetikledi.
Veri güvenliği olayı, California Cryobank’ın güvenlik sistemlerinin ağlarına yetkisiz erişimi belirlemeden önce yaklaşık altı ay boyunca tespit edilmedi.
Devlet düzenleyicilerine sunulan resmi ihlal bildirim belgelerine göre, tehdit aktörleri şirketin müşteri kişisel tanımlanabilir bilgileri (PII) içeren veritabanlarına girdi.
“Araştırmamız, kötü niyetli aktörlerin, kalıcı erişim sağlamak için müşteri yönetim sistemimizde sıfır gün güvenlik açığından yararlandığını belirledi” dedi.
Saldırganlar, güvenlik protokolleri bağlantıyı sonlandırmadan önce yaklaşık 12 saat erişimi sürdürdü.
Maruz kalan veriler ve etki değerlendirmesi
California Cryobank ülke çapında etkilenen toplam birey sayısını açıklamamış olsa da, devlet başvuruları en az 28 Maine sakininin etkilendiğini gösteriyor.
Güvenlik uzmanları, kuruluşun Kuzey Amerika’daki kapsamlı müşteri tabanına göz önüne alındığında, toplam sayının binlerce kişiye ulaşabileceğini tahmin ediyor.
Maine Başsavcı Raporları ofisine göre, maruz kalan bilgiler potansiyel olarak müşterilerin adlarını diğer hassas kişisel tanımlayıcılarla birlikte içermektedir.
California Cryobank’ın hizmetlerinin doğası göz önüne alındığında, bu ihlal, son derece hassas üreme ve genetik bilgilerin maruz kalması konusunda özel endişeleri gündeme getirmektedir.
Adli bir araştırma, saldırının müşteri kayıtlarını çıkarmak için “SQL enjeksiyonu” olarak bilinen sofistike bir eksfiltrasyon tekniği kullandığını ortaya koydu.
Bu enjeksiyon, standart güvenlik protokollerini atladı ve günlük sistemlerinden ödün vererek parçaları kapsamaya çalışırken yetkisiz veritabanı sorgularına izin verdi.
California Cryobank, veri ihlali bildirim yasalarına yasal uyumluluğu yönetmek için Baker & Hostetler LLP’yi dış danışman olarak görevlendirdi. Firmada bir ortak olan Sara Goldstein, düzenleyici yanıt sürecini denetliyor.
California Cryobank sözcüsü, “Bu güvenlik olayını müşterilerimizin bilgilerinin hassas doğası göz önüne alındığında son derece ciddiye alıyoruz” dedi.
“Tüm veritabanı erişim noktaları için gelişmiş şifreleme protokolleri ve çok faktörlü kimlik doğrulama gereksinimleri dahil ek güvenlik önlemleri uyguladık.”
Güvenlik önlemleri
Etkilenen bireylere siber cüzdan aracılığıyla bir yıllık ücretsiz kredi izleme ve kimlik hırsızlığı koruma hizmetleri sunulmaktadır. Müşterilere şu tavsiye edilir:
- Sağlanan koruma hizmetlerine hemen kaydolun
- Şüpheli faaliyet için finansal hesapları izleyin
- Büyük kredi büroları ile dolandırıcılık uyarıları yerleştirmeyi düşünün
- California Cryobank’tan geldiğini iddia eden alışılmadık herhangi bir iletişimi inceleyin
Bu ihlal, son derece hassas kişisel ve tıbbi bilgileri koruyan sağlık ve üreme teknolojisi organizasyonlarının karşılaştığı büyüyen siber güvenlik zorluklarını vurgulamaktadır.
Endüstri analistleri, bu tür tesislerin, veri sahiplerinin değerli niteliği nedeniyle gelişmiş tehdit aktörleri için giderek daha fazla hedef haline geldiğini belirtiyorlar.
California Cryobank, müşteri endişelerini gidermek ve ihlalin tam kapsamını araştırmak için kolluk kuvvetleri ile çalışmaya devam ettikleri için koruma hizmetlerine kaydolmaya yardımcı olmak için özel bir çağrı merkezi kurmuştur.