Sağlık hizmeti SaaS sağlayıcısı Welltok, şirket tarafından kullanılan bir dosya aktarım programının bir veri hırsızlığı saldırısında hacklenmesinin ardından ABD’deki yaklaşık 8,5 milyon hastanın kişisel verilerinin bir veri ihlali nedeniyle açığa çıktığı konusunda uyarıyor.
Welltok, ABD genelinde sağlık hizmeti sağlayıcılarıyla birlikte çalışarak çevrimiçi sağlıklı yaşam programlarını sürdürüyor, kişisel hasta verilerini içeren veritabanları tutuyor, tahmine dayalı analizler üretiyor ve ilaca bağlılık ve pandemiye müdahale gibi sağlık hizmetleri ihtiyaçlarını destekliyor.
Bu yılın başlarında, Clop fidye yazılımı çetesi, MOVEit yazılımındaki sıfır gün güvenlik açığından yararlanarak dünya çapında binlerce kuruluşa saldırı düzenledi ve 77 milyonun üzerinde insanı etkileyen şantaj taleplerini ve veri sızıntılarını takip etti.
Welltok, Ekim ayının sonlarında bir veri olayı bildirimi yayınladı ve MOVEit Transfer sunucusunun 26 Temmuz 2023’te ihlal edildiğine dair uyarıda bulundu. Bu durum, güvenlik güncellemelerinin satıcı tarafından kullanıma sunulduğu anda uygulanmasına rağmen meydana geldi.
Tam adlar, e-posta adresleri, fiziksel adresler ve telefon numaraları dahil olmak üzere hasta verileri ihlal sırasında açığa çıktı. Bazıları için Sosyal Güvenlik Numaralarını (SSN’ler), Medicare/Medicaid kimlik numaralarını ve belirli Sağlık Sigortası bilgilerini de içerir.
İhlalin etkisi Minnesota, Alabama, Kansas, Kuzey Carolina, Michigan, Nebraska, Illinois ve Massachusetts dahil olmak üzere çeşitli eyaletlerdeki kurumları etkiledi ve aşağıdaki sağlık hizmeti sağlayıcılarının etkilendiği belirtildi:
- Minnesota’nın Mavi Haç ve Mavi Kalkanı ve Blue Plus
- Alabama’nın Mavi Haçı ve Mavi Kalkanı
- Kansas’ın Mavi Haçı ve Mavi Kalkanı
- Kuzey Carolina’nın Mavi Haç ve Mavi Kalkanı
- Corewell Sağlık
- Faith Bölge Sağlık Hizmetleri
- Paris Hastane ve Tıp Vakfı, Inc. dba Horizon Health
- Toplu Genel Brigham Sağlık Planı
- Öncelikli Sağlık
- St. Bernards Sağlık Hizmetleri
- Sutter Sağlığı
- Trane Technologies Company LLC ve/veya Trane Technologies Company LLC veya Trane US Inc.’in sponsorluğunda grup sağlık planları.
- Stanford Health Care, Stanford Health Care, Lucile Packard Çocuk Hastanesi Stanford, Stanford Health Care Tri-Valley, Stanford Medicine Partners ve Packard Children’s Health Alliance’ın grup sağlık planları
- Guthrie Kliniği
Welltok’un bu bilgiyi hemen açıklamaması nedeniyle etkilenen bireylerin sayısına ilişkin ilk tahminler değişiklik gösterdi.
Ancak bugün erken saatlerde firma, ABD Sağlık ve İnsani Hizmetler Bakanlığı ihlal portalında veri ihlalinin 8.493.379 kişiyi etkilediğinin doğrulandığını bildirdi.
Bu rakam, Welltok ihlalini, veri ihlali 11 milyon kişiyi etkileyen hizmet yüklenicisi Maximus’tan sonra ikinci en büyük MOVEit veri ihlali olarak ortaya koyuyor.