Sağlık sektörü için donanım ve yazılım üreten bir şirket olan Zoll Medical, bu ayın başlarında Maine Başsavcılığına veri hırsızlığına neden olan saldırıyı ayrıntılı olarak anlatan bir rapor sundu.
Spiceworks tarafından bildirildiği üzere şirket, ihlali 28 Ocak’ta tespit ettiğini iddia ettiği belgeyi 10 Mart’ta sundu. Ayrıca rapor, şirketin beş gün sonra, 2 Şubat’ta saldırganların hassas verilere erişimini kestiğini söylüyor.
Olay sırasında bilgisayar korsanları, hem şirket çalışanlarına hem de tüketicilere ait hassas verileri çaldı. Görünüşe göre, ihlalden bir milyondan fazla insan etkilendi.
Polise haber verildi
Şirket ayrıca, çalınan verilerin kişilerin adlarını, adreslerini, doğum tarihlerini ve Sosyal Güvenlik Numaralarını içerdiğini açıkladı. Ayrıca, müşterilerin LifeVest giyilebilir kardiyoverter defibrilatör kullanıp kullanmadığı veya satın almayı planlayıp planlamadığı gibi Zoll ürünlerinin satın alınmasıyla ilgili bazı ayrıntılar da elde edildi.
Şirket dosyada, “Olaya yanıt vermemize ve olayı düzeltmemize yardımcı olması için üçüncü taraf siber güvenlik uzmanlarına danıştık ve yasanın gerektirdiği şekilde kolluk kuvvetlerine ve federal ve eyalet düzenleyici kurumlara haber verdik.”
Veri hırsızlığına yol açan gelişmelerin ayrıntıları belirsiz. Herhangi bir kötü amaçlı yazılım olup olmadığını veya şirketin gerçekten bir fidye yazılımı saldırısına maruz kalıp kalmadığını bilmiyoruz. Şirket, tehdit aktörlerinin ağı ve uç noktalarını ihlal etmek için kimlik avı veya başka bir sosyal mühendislik yöntemi kullanıp kullanmadığını ayrıntılandırmadı.
Her yerdeki bilgisayar korsanları için kişisel veriler, karanlık web forumlarında yeniden satarak veya kimlik avı ve kimlik hırsızlığı saldırılarında kullanarak kolayca para kazanılabilen bir altın madenidir. Büyük miktarda hassas kişisel veriyi elinde bulunduran sağlık firmaları ile dünyanın en çok hedef alınan kuruluşları arasında yer almaları şaşırtıcı değil.
Securiti Veri Yönetişimi Kıdemli Direktörü Jocelyn Houle, “Bir kişinin tuttuğu kişisel sağlık bilgileri (PHI) verilerini anlamak ve izlemek, tüm sağlık kuruluşları için bir önceliktir,” yorumunu yaptı.
“Veri maskeleme gibi teknikler, kilit iş kullanıcılarının bir güvenlik ihlalinin neden olduğu hasarı en aza indirirken hasta verilerinden yararlanmasını sağlayabilir. Hasta mahremiyet haklarını onurlandırmak ve talihsiz bir veri ihlalinin düzenleyici etkisini anlamak için hangi hastanın verilerinin nerede ve hangi amaçlarla kullanıldığını belirlemek için otomasyon uygulamak da aynı derecede önemlidir.”
Aracılığıyla: baharat fabrikaları (yeni sekmede açılır)
