2024 yılının Şubat ayında, UnitedHealth’a ait sağlık teknolojisi şirketi Change Healthcare’a yapılan fidye yazılımı saldırısı, ABD tarihindeki en büyük sağlık ve tıbbi veri ihlali olarak kayıtlara geçti.
Change Healthcare, 2025 yılı Ocak ayı itibarıyla, veri ihlalinin yaklaşık 190 milyon Amerikan bireyini etkilediğini doğruladı; bu da şirketin daha önceki tahmininin neredeyse iki katıydı.
Şirket, kişisel ve sağlık bilgilerinin siber suçlular tarafından çalındığını belirterek, iletişim bilgileri bulunmayan herkese yönelik ayrıntılı bir kamu duyurusunu yayımladı.
Change Healthcare, ABD sağlık sektöründe yüzlerce bin hastane, eczane ve tıbbi pratiğin faturalama ve sigorta işlemlerini yürütmektedir. Bu nedenle, şirket, ABD’deki hasta bilgileriyle ilgili büyük miktarlarda hassas veri toplamaktadır. Bir dizi şirket birleşimi ve satın almasının ardından Change Healthcare, U.S. sağlık verilerinin en büyük işleyicilerinden biri haline geldi ve tüm ABD sağlık işlemlerinin neredeyse yarısını yönetmektedir.
21 Şubat 2024
Kesinti raporları ve güvenlik ihlali
21 Şubat 2024, sıradan bir Çarşamba gibi görünüyordu fakat bir anda her şey değişti. Kliniklerdeki faturalama sistemlerinin çalışmadığı ve sigorta taleplerinin işlenmediği haberleri yayılmaya başladı. Change Healthcare’ın web sitesindeki durum sayfası, işlerinin her yönünü etkileyen kesinti bildirimleriyle doluydu ve günün ilerleyen saatlerinde şirket, “siber güvenlik sorunuyla ilgili bir ağ kesintisi yaşadığını” doğruladı.
Anlaşılan o ki Change Healthcare, sistemlerindeki farklı birimleri birbirinden izole etmek için tüm ağı kapatma kararı aldı. Bu durum, ABD genelinde sağlık sigortası ve faturalama taleplerini yönetmekte olan birçok firmanın süreçlerini durdurdu. Saldırganların, şirketin sistemlerine 12 Şubat civarında girdiği tespit edildi.
29 Şubat 2024
UnitedHealth, bir fidye yazılımı çetesi tarafından hedef alındığını açıkladı
Başlangıçta, saldırının devlete bağlı bir hacker grubuna ait olduğunu tahmin eden UnitedHealth, 29 Şubat’ta bunun aslında ALPHV/BlackCat adı verilen bir fidye yazılımı çetesi tarafından gerçekleştirildiğini belirtti. Bir şirket sözcüsü, o dönemde TechCrunch’a verdiği demeçte bu bilgiyi aktardı. Dark web’de ALPHV/BlackCat çetesi ile ilişkilendirilen bir sızıntı sitesi de, birçok Amerikalı’nın hassas sağlık ve hasta bilgilerini çaldıklarını iddia etti.
ALPHV (ya da BlackCat), Rusça konuşan bir fidye yazılımı çetesi olarak bilinir. Çetenin üyeleri, çetenin liderleri tarafından geliştirilen kötü amaçlı yazılımı yaymak için kurban ağlarına girer. Yapılan fidyelerden aldıkları pay ile finansal kazanç elde etmeyi hedeflerler.
Bu durum, saldırının arkasında devlete bağlı bir hack eylemi olmasının yerine, tamamen finansal kazanç için hareket eden siber suçlular olduğunu gösterdi. Bu bağlamda, çetenin hedeflerinin çok daha farklı olabileceği ihtimali doğdu.
3-5 Mart 2024
UnitedHealth, hackerlara 22 milyon dolar fidye ödedi ve sonra kayboldular
Mart ayının başlarında, ALPHV fidye yazılımı çetesi aniden piyasadan kayboldu. Dark web’deki çetenin sızıntı sitesi, birkaç hafta önce siber saldırıyı üstlenmişken, şimdi bir el koyma bildirisiyle yer değiştirdi. Ancak hem FBI hem de İngiliz otoriteleri, çeteyi yıllar önce devralmak için girişimlerde bulunduklarını yalanladı. Tüm işaretler, ALPHV’nin fidye ödemesini alıp kaçtığını gösteriyordu.
ALPHV’nin bu saldırıyı gerçekleştiren üyesi, Change Healthcare’a ödenen 22 milyon doları çetenin liderlik kadrosunun çaldığını iddia etti ve bir Bitcoin işlemi linki sundu. Ancak, aldıkları fidye karşılığında çalınan verilerin hala kendilerinde olduğunu açıkladılar. UnitedHealth, hackerlara ödeme yaparak verilerin kaybolmasına neden oldu.
13 Mart 2024
ABD sağlık sektöründe geniş çaplı kesintiler ve veri ihlali korkusu
Siber saldırının üzerinden haftalar geçmesine rağmen, sağlık hizmeti veren birçok kuruluş ilaçlarını temin edemedi veya ödemelerini nakit yapmak zorunda kaldı. Askeri sağlık sigortası sağlayıcısı TriCare, “tüm askeri eczanelerin dünya genelinde etkilendiğini” açıkladı.
Amerikan Tıbbi Derneği, UnitedHealth ve Change Healthcare tarafından yaşanan kesintilere dair çok az bilgi verildiğini belirtti. Bu durum, sağlık sektöründe geniş çaplı bir kargaşaya yol açıyordu.
13 Mart itibarıyla, Change Healthcare, kısa süre önce 22 milyon dolara satın aldığı çalıntı verilerin “güvenli” bir kopyasını aldı. Bu işlem, çalınan bilgilerin kime ait olduğunu tespit etme çabalarına başlamalarını sağladı ve mümkün olduğu kadar çok sayıda etkilenen bireye bildirimde bulunma hedefi koydular.
28 Mart 2024
ABD hükümeti, ALPHV’nin yakalanması için ödülü 10 milyon dolara çıkardı
Mart sonları itibarıyla, ABD hükümeti ALPHV/BlackCat çetesi hakkında bilgi verenler için ödülü artırarak 10 milyon dolara çıkardı. Bu karar, çetenin içindeki birinin liderlerine ihanet etme umuduyla verildi.
15 Nisan 2024
Yeni bir çetenin kurulması ve çalıntı sağlık verilerinin yayımlanması
Nisan ortalarına gelindiğinde, eski bir ALPHV üyesi yeni bir fidye çetesi oluşturarak RansomHub adını vermiştir. Bu yeni çete, çalınan verileri yayınlayarak UnitedHealth’ten bir kez daha fidye talep etmeye başladı. Fidye yazılımı çeteleri yalnızca dosyaları şifrelemekle kalmaz, aynı zamanda mümkün olduğunca çok veri çalmaya çalışır. Bu çalıntı verileri yayımlamak tehdidiyle bazen birden fazla fidye talebinde bulunabilirler.
UnitedHealth, bir kez fidye ödemeye istekli olduğu için tekrar fidye talep edilmesi riskiyle karşı karşıya kaldı. Hukuk kurumları, fidye ödememek için uzun süredir tavsiyede bulunmaktadır çünkü bu, suçluların siber saldırılardan kazanç elde etmelerine olanak tanımaktadır.
22 Nisan 2024
UnitedHealth: “Fidye yazılımcıları, Amerikan halkının önemli bir kısmının sağlık verilerini çaldı”
22 Nisan’da UnitedHealth, saldırının ardından bunun bir veri ihlali olduğunu ve bunun, “Amerika’daki önemli bir kesimi” etkileme olasılığını doğruladı. Ancak ne kadar kişiyi ilgilendirdiğine dair rakam vermekten kaçındı. Ayrıca, çetenin çaldığı veriler için fidye ödendiğini kabul ettiler fakat ödenen toplam fidye sayısını açıklamayacaklarını belirttiler.
Şirket, çalıntı verilerin hassas bilgileri, sağlık kayıtları ve sağlık bilgilerini, tanıları, ilaçları, test sonuçlarını, görüntüleme ve tedavi planlarını içerdiğini açıkladı. Change Healthcare, ABD’deki her bireyin verisini işlediğinden, bu ihlal 100 milyon kişiden fazlasını etkileyebilir.
1 Mayıs 2024
UnitedHealth Group’un CEO’su, Change’in temel siber güvenlik önlemleri almadığını itiraf etti
Kapsamlı bir veri ihlalinin ardından, UnitedHealth Group’un CEO’su Andrew Witty, yasa koyucular önünde ifade vermek üzere çağrıldı. Witty, hackerların Change Healthcare’ın sistemlerine, çok faktörlü kimlik doğrulaması ile korunmayan, tek bir kullanıcı adı ve şifreyle girdiğini açıkladı. Bu durum, veri ihlalinin önlenebilir olduğunu vurgulayan bir mesaj taşıyordu.
Witty, ihlalin, Amerika’nın yaklaşık üçte birinin etkilenmesine yol açtığını belirtti. Bu rakam, şirketin işlediği sağlık talepleriyle doğru orantılıydı.
20 Haziran 2024
UHG, etkilenen hastanelere ve sağlık hizmeti sağlayıcılara çalınan verileri bildirmeye başladı
20 Haziran’a kadar Change Healthcare, etkilenen bireylere resmi bildirimde bulunmaya başladı. Bu bildirimler, yasal olarak yapılan gereklilikler doğrultusunda mümkün oldu. Şirket, hangi bilgilerin çalındığını tam olarak ifadeye dökmekte zorlandığını ve bunun bireyden bireye değişebileceğini aktardı. Bildirim, uygun iletişim adresi olmaması sebebiyle yeterli bilgilendirme yapılamayacağını açıkladı.
Olay o kadar büyük ve karmaşıktı ki, ABD Sağlık ve İnsan Hizmetleri Bakanlığı, etkilenen sağlık sağlayıcıların, hasta bilgilendirmelerini UnitedHealth adına talep edebileceklerini duyurdu.
29 Temmuz 2024
Change Healthcare, bilinen etkilenen bireylere mektup ile bildirim yapmaya başladı
Change Healthcare, çalınan sağlık verileriyle ilgili bilgilendirmeleri yapmaya geçtiğimiz Temmuz ayının sonunda başlamak üzere açıkladı. Bu süreç, belirli bir aşamada devam edecek.
Hedeflenen bireylere gönderilecek mektuplar, büyük ihtimalle Change Healthcare veya etkilenen sağlı kuruluşundan gelecektir. Mektup, çalınan verilerin türünü, sağlık verileri ve sağlık sigortası bilgilerini içerecektir.
24 Ekim 2024
UnitedHealth, veri ihlalinin en az 100 milyon kişiyi etkilediğini doğruladı
Sağlık sigortası devi, sekiz ay sonra veri ihlalinin 100 milyondan fazla bireyi etkilediğini resmen duyurmuş durumda. Bu sayı, etkilenenlerin bazıları Ekim ayında veri ihlali bildirimi almış bulunuyor. ABD Sağlık ve İnsan Hizmetleri Bakanlığı, güncellenmiş rakamı 24 Ekim’de duyurdu.
Change Healthcare’daki veri ihlali, Amerika Birleşik Devletleri’nin en büyük dijital tıbbi kayıt hırsızlığı olarak tarihe geçti.
16 Aralık 2024
Nebraska davasında Change hack’ine dair yeni detaylar ortaya çıktı
Nebraska eyaleti, Change Healthcare’a karşı bir dava açtı ve bu davada sağlık devinin güvenlik zaafiyetlerinin en az 100 milyon insanın etkilenmesine yol açtığını iddia etti. Davadaki yeni detaylar, ALPHV hackerlarının düşük seviyeli bir müşteri destek çalışanın çalınan kullanıcı adı ve şifresi ile sisteme girdiğini ortaya koydu.
Eyaletin şikayetinde, Change Healthcare’ın IT sistemlerinin kötü bir şekilde segmentasyon halinde olduğu ve bir kez içeri girdikten sonra hackerların sistemler arasında serbestçe geçiş yaptığı belirtildi.
24 Ocak 2025
Change Healthcare, ABD’de 190 milyon kişinin veri ihlalinden etkilendiğini açıkladı
Siber saldırının üzerinden neredeyse bir yıl geçtikten sonra UnitedHealth, Amerika’da özel sağlık bilgilerinin çalındığını ve bunun 190 milyon kişiyi etkilediğini duyurdu. Bu rakam, ABD nüfusunun yarısından fazlasını kapsamaktadır. Çok sayıda insan, bu veri ihlali nedeniyle etkilendi, UnitedHealth bunun sadece kendi sigortalılarını değil, aynı zamanda Change Healthcare’ın her gün işlediği verilerin büyük hacmini de yansıttığını belirtti.
