Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
2020 Saldırısı 13.000 Blackbaud Müşterisini ve Bunların 1,5 Milyar “Bileşenini” Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
16 Mayıs 2024
Federal bir yargıç, Blackbaud’a karşı, bulut tabanlı bağış toplama yazılımı satıcısının 13.000 müşteriyi etkileyen ve yaklaşık 1,5 milyar bağışçının, hastanın ve diğer bireylerin verilerinin tehlikeye atıldığı 2020 fidye yazılımı saldırısından kaynaklanan birleştirilmiş önerilen toplu dava davasında toplu tasdiki reddetti.
Ayrıca bakınız: Sağlık Sektörü Siber Güvenlik Uygulamaları (HICP), Tehditlerle Mücadeleye ve Düzenleyici Riskleri Azaltmaya Nasıl Yardımcı Olur?
Salı günü verdiği kararda, Güney Carolina ABD Bölge Mahkemesi adına görev yapan ABD Bölge Mahkemesi Yargıcı Joseph Anderson, davacıların önerilen sınıf ve alt sınıfların “kesinleştirilebilir” olduğunu gösterememeleri nedeniyle sertifikasyon talebini reddettiğini söyledi.
Dava, ihlalin ardından Güney Carolina merkezli Blackbaud’a karşı açılan iki düzineden fazla önerilen toplu davanın birleştirilmesinden oluşuyor.
Davanın önerdiği sınıflar, şifrelenmemiş bilgileri saldırıda ele geçirilen veritabanında depolanan “ABD’de ikamet eden tüm gerçek kişiler için Massachusetts ortak hukuku kapsamında ülke çapında ihmal ve ağır ihmal sınıflarını” ve ayrıca etkilenen sakinler için birer tane olmak üzere dört alt sınıfı içermektedir. New York veya Florida’da yaşayanlar ve Kaliforniya’da ikamet edenler için iki kişi.
Hakim, davadaki davacıların, mahkemenin, belirli bir kişinin kapsamlı ve kişiselleştirilmiş bilgi toplama olmaksızın sınıf üyesi olup olmadığını belirlemesi için “idari açıdan uygulanabilir” bir yol gösteremediğini söyledi.
Anderson, “Bu mahkeme, davacıların tespit edilebilirliğe ilişkin ispat yükünü yerine getirememesi nedeniyle davacıların toplu sertifikasyon talebini reddediyor” dedi.
Davada davacıları temsil eden avukatlar, Bilgi Güvenliği Medya Grubu’nun karara ve davanın bir sonraki aşamasına ilişkin yorum taleplerine hemen yanıt vermedi.
Davada Blackbaud’u temsil eden Troutman Pepper hukuk firmasının ortağı avukat Ron Raether, ISMG’ye yaptığı açıklamada şunları söyledi: “Bölge mahkemesinin kapsamlı ve gerekçeli görüşünden memnunuz. Blackbaud’un çıkarlarını temsil etmeye devam etmeyi sabırsızlıkla bekliyoruz. Davanın sonraki aşamalarında.”
İhlal Ayrıntıları
Anderson kararında, 7 Şubat ile 20 Mayıs 2020 tarihleri arasında bilinmeyen tehdit aktörlerinin Blackbaud’un Massachusetts’te bulunan bazı veri merkezlerine sızdığını söyledi. Saldırganlar ilk olarak ele geçirilen bir müşteri hesabını kullanarak Blackbaud’un uzak masaüstü ortamına erişti ve daha sonra şirketin veri merkezlerine geniş çapta erişim sağladı.
“Davacılar, 400 terabayttan fazla verinin başarıyla sızdırıldığını ve tehdit aktörlerinin daha sonra Davalı’dan verileri silmeleri karşılığında fidye ödemesini talep ettiğini iddia ediyor. Davalı fidyeyi ödedi ancak verilerin silindiğine dair hiçbir kanıt alamadı ,” diyor mahkeme belgesi.
Anderson, birleştirilmiş davada değiştirilen şikayetin, Blackbaud’un ihlali önlemek için yeterli güvenlik önlemlerine sahip olmaması nedeniyle ihlalin meydana gelebildiğini ve aylarca tespit edilemediğini iddia ettiğini söyledi. “Davacılar ayrıca Davalı’nın ihlali keşfettikten sonra gösterdiği düzeltme çabalarını da eleştiriyor ve tepkisinin ihmalkar ve yanıltıcı olduğunu ileri sürüyor” dedi.
Kararda, “Buna göre davacılar, varsayılan sınıf üyelerinin verilerinin kötüye kullanıma açık olduğunu ve aktif olarak karanlık ağda pazarlandığını iddia ediyor” dedi.
“13.000 Blackbaud müşterisine ait olan ve yaklaşık 1,5 milyar bileşene ait verileri içeren yaklaşık 90.000 yedekleme dosyası, ihlalden etkilendi.”
Mahkeme belgelerine göre Blackbaud, olay sırasında müşterilere 11 ayrı ürünün çeşitli kombinasyonlarını sunuyordu.
“Davalının müşterileri, bu ürünleri satın aldıktan sonra özelleştirebilir ve müşterileri, bu ürünleri kullanarak depolanan veriler, bunların nasıl saklandığı, şifreli alanların davalı tarafından tasarlandığı şekilde kullanılıp kullanılmadığı ve bir ürünün kişiselleştirilmiş olup olmadığı üzerinde nihai kontrole sahiptir. belirli bir müşterinin özel ihtiyaçlarına uygundur” diyor mahkeme belgesi.
“Veri ihlalinin bir sonucu olarak, 13.000 müşteriye ait verileri içeren yaklaşık 90.000 yedek dosyaya erişildi. Başka bir deyişle, tehdit aktörleri, Davalı’nın açıkladığı ‘canlı’ veri tabanlarının aksine, ihlal sırasında çok sayıda müşteri yedekleme dosyasına erişti. Ayrıca davacılar belgede şunu iddia ediyor:
Anderson kararında, birleştirilmiş davada davacıların, verileri Blackbaud müşterilerine sağlanan ve sonuçta Blackbaud tarafından barındırılan varsayılan bir bireyler sınıfını veya “kurucuları” temsil ettiğini söyledi.
“Davacıların davası, tehdit aktörlerinin Davalının sistemlerine başarılı bir şekilde sızdığında kişisel olarak tanımlanabilir bilgilerinin ve korunan sağlık bilgilerinin tehlikeye atıldığını ileri sürüyor.”
Daha Fazla Sorun
Blackbaud, olayın ardından federal ve eyalet hükümeti düzenleyicileri tarafından, uzlaşmalar ve para cezaları da dahil olmak üzere çeşitli yaptırımlarla karşı karşıya kaldı.
Şubat ayında Federal Ticaret Komisyonu, Güney Carolina merkezli Blackbaud’a artık ihtiyaç duyulmayan kişisel verileri silmesini ve hack sonrasında uzun bir güvenlik iyileştirmeleri listesi uygulamasını emretti.
FTC, yanıltıcı ihlal bildirim bildirimleri ve bilgi güvenliği uygulamalarına ilişkin aldatıcı ifadeler de dahil olmak üzere bir dizi FTC Yasası ihlali nedeniyle Blackbaud’a atıfta bulundu (bkz.: FTC, Blackbaud’un Fidye Yazılımı Hacklemesindeki Kalitesiz Uygulamalarını Vurdu).
FTC, Blackbaud olayında ele geçirilen şifrelenmemiş bilgilerin arasında isim, yaş, doğum tarihi, Sosyal Güvenlik numarası, ev adresi, telefon numarası, e-posta adresi ve banka hesap bilgileri, tahmini servet ve tanımlanmış varlıklar da dahil olmak üzere finansal bilgiler yer aldığını söyledi.
Hasta ve tıbbi kayıt tanımlayıcıları, tedavi eden doktor adları, sağlık sigortası bilgileri, tıbbi ziyaret tarihleri, tıbbi tedaviye başvurma nedenleri, cinsiyet, dini inançlar, medeni durum, eş adları ve eşler dahil olmak üzere milyonlarca kişinin tıbbi bilgileri de hack’te ele geçirildi. FTC, bağış geçmişi, istihdam bilgilerinin (maaş, eğitim bilgileri ve hesap kimlik bilgileri dahil) yer aldığını söyledi.
Geçen sonbaharda Blackbaud, fidye yazılımı saldırısının ardından 48 eyaletin başsavcıları ve Columbia Bölgesi tarafından şirketin veri güvenliği uygulamalarına ilişkin yürütülen soruşturmayı sonuçlandırmak için 49,5 milyon dolar ödemeyi kabul etti (bkz: Blackbaud, Devlet AG’lerinin İhlaliyle Anlaşmak İçin 49,5 Milyon Dolar Ödedi).
FTC’nin Blackbaud’a karşı kararı gibi, bu çok eyaletli anlaşma da şirketin veri güvenliği iyileştirmeleri uygulamasını gerektiriyordu. Bunlar arasında ağ bölümleme, şifreleme, yama yönetimi, güvenlik olaylarının CEO’ya ve yönetim kuruluna raporlanması ve veri güvenliği uygulamalarının ayrıntılarını yanlış beyan etmekten kaçınma taahhüdü yer alıyordu.
Mart 2023’te ABD Menkul Kıymetler ve Borsa Komisyonu, düzenleyicilerin şirketin, bilgisayar korsanlarının şifrelenmemiş banka hesabı ele geçirdiğini açıklamayarak siber güvenlik olayıyla ilgili gerçekleri atlayan üç aylık bir Ağustos 2020 raporu sunduğuna karar vermesinin ardından Blackbaud’a 3 milyon dolar para cezası ödemesini emretti. Sosyal Güvenlik numaraları (bkz.: Blackbaud ‘Hatalı’ İhlal Ayrıntıları Nedeniyle 3 Milyon Dolar Ödeyecek).
Ancak Blackbaud’a karşı harekete geçen tek hükümet kurumu ABD federal ve eyalet düzenleyicileri değil. İngiltere’nin Bilgi Komiserliği Ofisi, Eylül 2021’de şirketi para cezası uygulamadan kınadı. Kınamalar genellikle gizlilik gözlemcisinin bir kuruluşun Birleşik Krallık’ın Genel Veri Koruma Yönetmeliğini ihlal ettiğini düşünme yollarını ayrıntılarıyla anlatır ve bu eksikliklerin giderilmesine yönelik önerilerde bulunur.