Zoll Medical’deki veri ihlali haberlerinin üzerinden bir haftadan az bir süre geçti (yeni sekmede açılır)bilgisayar korsanlarının Temmuz 2022’de sağlık hizmeti sağlayıcısı Independent Living Systems’i (ILS) ihlal etmeyi ve milyonlarca kullanıcının hassas verilerini çalmayı başardıkları ortaya çıktı.
bu bir göre bildiri (yeni sekmede açılır) Maine Başsavcılığına başvurdu (aracılığıyla BleepingBilgisayar) bu hafta başlarında ILS tarafından.
Bu bildirime göre şirket, saldırı sırasında tam adlar, Sosyal Güvenlik numaraları, vergi mükellefi kimlik numaraları, tıbbi bilgiler ve sağlık sigortası bilgileri dahil olmak üzere 4,2 milyon kişiye ilişkin hassas verilerin alındığını söyledi.
Müşteriler bilgilendirildi
Bildiride, “Müdahale çabaları sayesinde ILS, yetkisiz bir aktörün 30 Haziran ile 5 Temmuz 2022 arasında belirli ILS sistemlerine erişim sağladığını öğrendi.”
“Bu süre zarfında, ILS ağında depolanan bazı bilgiler yetkisiz aktör tarafından ele geçirildi ve diğer bilgilere erişilebilir ve potansiyel olarak görüntülendi.”
Bu, çalınan verilerin artık potansiyel olarak karanlık ağda satılabileceği, kimlik avı ve sosyal mühendislik saldırılarında veya kimlik hırsızlığı durumlarında kullanılabileceği anlamına gelir.
Şirket, etkilenen bireyleri zaten bilgilendirdiğini ve Experian sayesinde bir yıllık ücretsiz kimlik koruma hizmetleri sunduğunu söyledi.
Bazı ayrıntılar şu anda bilinmiyor. Saldırının arkasındaki tehdit aktörünün kim olduğunu veya bunun bir fidye yazılımı saldırısı olup olmadığını bilmiyoruz. Saldırganların ILS’nin ağlarını nasıl ele geçirdiğini de bilmiyoruz – bir kullanıcı yanlışlıkla oturum açma kimlik bilgilerini paylaştı mı veya sıfır gün güvenlik açığı kötü amaçlı yazılım aracılığıyla kötüye kullanıldı mı? (yeni sekmede açılır).
Siber suçlular genellikle hedef uç noktaları şifrelerken hassas verileri çalar ve ödeme yapılmadığı takdirde bu verileri internette ifşa etmekle tehdit eder.
Securiti’de Veri Yönetişimi Kıdemli Direktörü Jocelyn Houle için, bir sağlık kuruluşuna yönelik bir saldırı şaşırtıcı değil, ancak veri yönetimi, gizlilik ve güvenliği birinci öncelik haline getirme ihtiyacını vurguluyor.
“Veri yönetimi süreçlerini otomatikleştirmeye yönelik yapay zeka ve makine öğrenimi teknikleri, kişisel sağlık bilgilerinin (PHI) açığa çıkma riskini azaltmak için önemli bir adım haline geliyor.”
“PHI’yi konumlandırarak, koruyarak ve yöneterek politikaları otomatikleştirmek, ihlal risklerini azaltır ve en az ayrıcalıklı erişim gibi kontroller ve veri maskeleme gibi tekniklerle birleştiğinde, kuruluşlar bir saldırı durumunda maruz kalma ve hasarı en aza indirebilir.”
“Bir gizlilik yönetimi yazılımı uygulamak, içeriden gelen tehditleri belirlemek ve tehdit aktörlerinin sağlık kuruluşlarının ağlarına erişmesini önlemek için sistemler arası görünürlük sağlayarak da yardımcı olur.”