Güvenlik olaylarından etkilenen şirketlerle çalışan uluslararası bir hukuk firması, yüz binlerce veri ihlali mağdurunun hassas sağlık bilgilerinin açığa çıkmasına neden olan kendi siber saldırısına maruz kaldı.
San Francisco merkezli Orrick, Herrington & Sutcliffe geçen hafta bilgisayar korsanlarının kişisel bilgileri ve hassas sağlık verilerini çaldığını söyledi. 637.000’den fazla veri ihlali mağduru Mart 2023’teki bir izinsiz giriş sırasında ağındaki bir dosya paylaşımından.
Orrick, devlet yetkililerine ve etkilenen kişilere bildirimde bulunmak amacıyla mağdurların bilgilerinin alınması gibi düzenleyici gereklilikleri yerine getirmek için, veri ihlalleri de dahil olmak üzere güvenlik olaylarından etkilenen şirketlerle birlikte çalışıyor.
Etkilenen kişilere gönderilen bir dizi veri ihlali bildirim mektubunda Orrick, bilgisayar korsanlarının, Orrick’in hukuk danışmanı olarak görev yaptığı diğer şirketlerdeki güvenlik olaylarıyla ilgili sistemlerinden çok sayıda veri çaldığını söyledi.
Orrick, sistemlerinin ihlalinin, sigorta devi EyeMed Vision Care ile görme planı olan kişiler ve milyonlarca Amerikalıya diş sigortası sağlayan bir sağlık sigortası ağı devi olan Delta Dental ile diş planı olan kişiler de dahil olmak üzere müşterilerinin verilerini içerdiğini söyledi. Orrick ayrıca sağlık sigortası şirketi MultiPlan’a, davranışsal sağlık devi Beacon Health Options’a (şu anda Carelon olarak biliniyor) ve ABD Küçük İşletme İdaresi’ne, Orrick’in veri ihlalinde kendi verilerinin de tehlikeye girdiğini bildirdiğini söyledi.
Orrick, çalınan verilerin tüketici adlarını, doğum tarihlerini, posta adresini ve e-posta adreslerini ve Sosyal Güvenlik numaraları, pasaport ve sürücü belgesi numaraları ve vergi kimlik numaraları gibi devlet tarafından verilen kimlik numaralarını içerdiğini söyledi. Veriler ayrıca tıbbi tedavi ve teşhis bilgilerini, hizmetlerin tarihi ve maliyetleri gibi sigorta talep bilgilerini ve sağlık sigortası numaralarını ve sağlayıcı ayrıntılarını da içeriyor.
Orrick, ihlalin şunları içerdiğini söyledi: çevrimiçi hesap kimlik bilgileri ve kredi veya banka kartı numaraları.
Bu veri ihlalinden etkilendiği bilinen kişilerin sayısı, Orrick’in olayı ilk kez açıklamasından bu yana üç kat arttı. Orrick, en son veri ihlali bildiriminde “ek işletmeler adına bildirim sağlamayı öngörmediğini” söyledi ancak bu sonuca nasıl vardığını söylemedi.
Bilgisayar korsanlarının Orrick’in ağına ilk olarak nasıl sızdıkları veya bilgisayar korsanlarının hukuk firmasından mali fidye talep edip etmediği belli değil.
Orrick, TechCrunch’ın olayla ilgili sorularını yanıtlamadı. Orrick’in sözcüsü Jolie Goldstein yaptığı açıklamada şunları söyledi: “Bu kötü niyetli olayın yol açtığı rahatsızlık ve dikkat dağınıklığından dolayı üzgünüz. Müşterilerimiz, verileri etkilenen kişiler ve ekibimiz için sorunu mümkün olan en kısa sürede çözmeyi önceliğimiz haline getirdik.”
Aralık ayında Orrick San Francisco federal mahkemesine söyledi Orrick’i olaydan aylar sonrasına kadar mağdurları ihlal konusunda bilgilendirmemekle suçlayan dört toplu dava davasının çözümü için prensipte anlaşmaya varıldığını söyledi.
Orrick’in sözcüsü, “Bu meseleyi sona erdiren olaydan sonraki bir yıl içinde bir anlaşmaya vardığımız için mutluyuz ve sistemlerimizi, müşterilerimizin ve firmamızın bilgilerini korumaya devam etmeye devam edeceğiz” diye ekledi.