TechCrunch, Cencora’nın şu ana kadar ABD genelinde bir milyondan fazla kişiye, bu yılın başlarında gerçekleşen veri ihlalinde kişisel ve korunan sağlık bilgilerinin tehlikeye girdiğini bildirdiğini tespit etti.
İlaç devi, Mayıs ayında Şubat ayında meydana gelen bir olayın, Cencora’nın hasta destek programlarıyla bağlantılı olarak çalıştığı ilaç üreticileriyle ortaklıklar yoluyla elde ettiği hasta verilerinin tehlikeye atılmasına yol açtığını söyledi. Bu ilaç üreticilerinden bazıları AbbVie, Bayer, Pfizer ve Regeneron’dur.
2023’e kadar AmerisourceBergen olarak bilinen Cencora, veri ihlali bildirimi Tehlikeye atılan verilerin arasında hastaların isimleri, posta adresleri ve doğum tarihlerinin yanı sıra sağlık teşhisleri, ilaçları ve reçeteleri hakkındaki bilgiler de yer alıyor.
İlaç devi, veri ihlaline neyin sebep olduğunu, örneğin olayın kötü niyetli bilgisayar korsanları tarafından mı yoksa kuruluş içindeki bir güvenlik açığından mı kaynaklandığını açıklamayı şimdiye kadar reddetti. Cencora ayrıca veri ihlali hakkında bilgilendirdiği kişi sayısını doğrulamayı reddetti.
TechCrunch’ın yayınlanmış veri ihlali bildirimlerini analiz etmesi, Cencora’nın Şubat ayındaki olayda en az 1,43 milyon kişiye verilerinin tehlikeye atıldığını bildirdiğini gösteriyor.
Analizimiz, ABD eyalet başsavcılarının web sitelerinde yayınlanan veri ihlali bildirimlerini araştırmayı içeriyordu; bunlar arasında şunlar yer alıyordu: Delaware, Iowa, Massachusetts, Montana, Yeni Hampshire, TeksasVe Washington. Bu eyaletler, veri ihlalinden etkilenen şirketlerin, eyalet sakinlerinin bildirimde bulunulacak belirli sayısını kamuoyuna açıklamasını gerektirir. (Veri ihlali bildirimlerinin çoğu, etkilenen her bir ilaç şirketi adına veya Cencora’nın ana şirketi Lash Group aracılığıyla yapılır.) Teksas, Cencora ihlali hakkında en fazla bildirim alan eyaletti ve yazının yazıldığı tarihte 1,05 milyon kişi vardı.
Cencora, etkilenen kişilere en son veri ihlali bildirimini temmuz ortasında gönderdi ve bu, ilaç devinin verileri alınan kişileri hala uyardığını gösteriyor.
Veri ihlalinden etkilenen kişi sayısının çok daha yüksek olması muhtemeldir. Cencora kabul etti kendi veri ihlali bildiriminde Güncel adres bilgilerine sahip olmadığı için etkilenen herkese bildirimde bulunamıyor.
Cencora, bu yılın başlarında bugüne kadar en az 18 milyon hastaya hizmet verdiğini duyurmuştu.
Cuma günü e-posta yoluyla ulaşılan Cencora sözcüsü Mike Iorfino, şu ana kadar bildirilen kişi sayısını yalanlamadı, ancak daha doğru bir rakam vermeyi veya konu hakkında yorum yapmayı reddetti.
ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın (HHS) yayınladığı veri ihlalleri listesine göre, 1,42 milyon kişinin etkilendiği bu veri ihlali, 2024 yılında sağlık bilgilerinin en büyük ihlallerinden biri olarak sıralanıyor.
HHS’nin sadece 2024 yılı için yaptığı sayıma göre, sağlık sigortası devi Kaiser, hastaların kişisel ve sağlık bilgilerini yanlışlıkla reklam verenlerle paylaştıktan sonra 13,4 milyondan fazla kişiye bildirimde bulundu; reçete yönetim şirketi Sav-Rx, 2,8 milyon kişiye bildirimde bulundu sağlık bilgileri çalındı Daha önceki bir siber saldırıda; sağlık yardımları yöneticisi WebPTA, 2,5 milyon kişiye siber suçluların sigorta bilgilerini ve Sosyal Güvenlik numaralarını çaldığını söylemişti.
Etkilenen kişi sayısı henüz açıklanmasa da, UnitedHealth’in sağlık teknolojisi yan kuruluşu Change Healthcare’e yönelik Şubat ayında gerçekleşen fidye yazılımı saldırısı, ABD tarihindeki en büyük sağlık verisi ihlallerinden biri olarak öne çıkıyor ve “Amerika’daki insanların önemli bir bölümünü” -muhtemelen en az yüz milyon ABD sakinini- etkiliyor.
Cencora ise kendi veri ihlalinin Change Healthcare’deki fidye yazılımı saldırısı ve veri ihlaliyle “hiçbir bağlantısının” olmadığını söyledi.