Nebraska eyaleti, sağlık teknoloji devi Change Healthcare‘e, 100 milyondan fazla Amerikalının sağlık verilerinin ifşa edilmesiyle sonuçlanan bir veri ihlali nedeniyle dava açtı.
Güvenlik Açıkları ve Veri İhlali
Nebraska’nın başsavcısı Mike Hilgers tarafından bu hafta sunulan şikayette, UnitedHealth bünyesindeki Change Healthcare’ın, uygun güvenlik önlemlerini uygulamada başarılı olamayarak etki ve boyut açısından “tarihi” bir veri ihlaline yol açtığı iddia ediliyor.
Ekim ayında, Change Healthcare’a yapılan bir şantaj saldırısı sonucunda >100 milyon Amerikalının hassas tıbbi verilerinin çalındığı ortaya çıkmıştı. Bu veriler arasında, adresler, telefon numaraları, teşhisler, ilaçlar, tedavi planları ve finansal bilgiler bulunmaktaydı. Change Healthcare, hala etkilenen bireylere ihlali bildirmeye devam ediyor ve finalde etkilenen kişi sayısının 100 milyondan daha fazla olacağı bekleniyor.
Allegasyonlar ve Güvenlik İhlalleri
Hilgers, şikayetinde Change Healthcare’ın “temel güvenlik önlemlerini” uygulamadığını, bunun da siber saldırının boyutunu artırdığını belirtti. Saldırı, Rusça konuşan ALPHV fidye yazılımı çetesi tarafından gerçekleştirildi. İddialara göre, Change Healthcare’ın IT sistemleri kötü bir şekilde segmente edildiği için, siber saldırganların sunucular arasında serbestçe dolaşmasına olanak tanıdı ve şirket, sistemlerine çok faktörlü kimlik doğrulama uygulamadı, böylece yalnızca bir kullanıcı adı ve şifre ile sisteme erişim sağladı.
Şikayet, siber saldırganların Change Healthcare’ın ağına, “düşük seviyedeki bir müşteri destek çalışanına” ait kullanıcı adı ve şifresi ile eriştiğini gösteren daha önce bildirilmemiş bilgiler içeriyor. Hilgers, bu bilgilerin çalındığını ve bir Telegram grubunda satıldığını söyledi.
Saldırının Gelişimi ve Sonuçları
Sadece temel bir kullanıcı hesabı ile erişim sağlandığından, siber saldırganlar Change’ın ilaç yönetimi uygulaması olan SelectRX‘in bulunduğu sunucuya erişim sağladı. Buradan, yetkili hesaplar oluşturup, tüm dosyalara erişim ve silme yetkisini elde ettiler.
“Hackerlar, Change’in sistemlerinde dokuz gün boyunca tespit edilmeden dolaşarak, yetkili yönetici hesapları oluşturdular, kötü amaçlı yazılım kurdular ve hassas verilerin terabaytlarını dışarı aktardılar,” ifadesine yer verildi şikayette. Saldırı, dosyaların şifrelenmesi ile fark edildi ve bu durum şirketin kendi verilerine erişimini engelledi.
Hilgers ayrıca, Change Healthcare’ın etkilenen bireylere veri ihlali hakkında bildirim yapmadığını, bunun en az 575,000 Nebraskan’ı etkilediğini iddia ediyor. Hilgers, eyaletin kendi bildirimini yayınladığını belirtti çünkü Change Healthcare, siber saldırının üzerinden beş ay geçtikten sonra hâlâ etkilenen kişilere bildirimde bulunmamıştı.
Mahkeme Talebi ve Etkileri
“Bu şikayet tarihi itibarıyla, Nebraska Eyaleti, sanıkların hala birçok etkilenen Nebraskalıya ihlal hakkında yazılı bildirimde bulunmadığına inanmaktadır, bu durumda vatandaşlar, hassas kişisel finansal, sağlık ve kimlik bilgilerinin istismarına daha açık bir hale gelmektedir” denildi.
Nebraska başsavcısı, mahkemeden Change Healthcare’in, Nebraska sakinlerine ve sağlık hizmeti sağlayıcılarına verdiği zararın tazmin edilmesi için maddi tazminat ödemesini talep ediyor; bu tazminat, sağlık hizmeti sağlayıcılarının sigorta taleplerini almadan bakım hizmeti sağlamak zorunda kalmalarından kaynaklanıyor.
Saldırı ayrıca, operasyonel aksaklıklara neden olarak, hastaların gerekli ilaçlarını ve tedavilerini alamamalarına yol açtı.
UnitedHealth sözcüsü Katherine Wojtecki, TechCrunch’a verdiği demeçte: “Bu davanın geçerli olmadığına inanıyoruz ve savunmamızı kararlılıkla sürdüreceğiz” dedi. Şirket, verilerin çalınmasının gözden geçirilmesinin “son aşamalarında” olduğunu yineleyerek, TechCrunch’a Temmuz ayında ilettiği durumu aktardı.
