“`html
Change Healthcare’da Dev Veri İhlali
Change Healthcare, UnitedHealth bünyesindeki sağlık teknolojileri şirketi, geçen yılki bir fidye yazılımı saldırısında 100 milyondan fazla kişinin hassas sağlık verisinin kaybedilmesi sonucunda, etkilenen bireyleri bilgilendirme işlemini “önemli ölçüde tamamladığını” açıkladı.
Ransomware Saldırısı ve Sonuçları
Şubat 2024’te gerçekleşen fidye yazılımı saldırısı, Amerika Birleşik Devletleri’ndeki en büyük hasta fatura işleme şirketlerinden biri olan Change Healthcare’ın hizmetlerini alt üst etti. Bu saldırı, U.S. sağlık sisteminde aylar süren kesintilere yol açtı ve aynı zamanda ülke tarihindeki en büyük tıbbi veri hırsızlığı olarak kaydedildi. Change Healthcare, çalınan verilerin daha fazla yayınlanmasını önlemek amacıyla saldırganlara bir fidye ödedi ve bunun karşılığında çalınan verilerin bir kopyasını alarak etkilenen bireylere bilgi vermeye başladı.
Veri İhlalinin Duyurulması ve Gizlilik Endişeleri
Change Healthcare, web sitelerinde güncellediği veri ihlali bildiriminde, dosyası bulunan müşterilerini bilgilendirdiğini belirtti. Ancak şirket, olası etkilenen bireylerin tamamı için yeterli adres bilgisine sahip olmadığını ve internet üzerinden açıklama yapmanın amacının müşterilere ve bireylere suçlu siber saldırı hakkında bilgi vermek olduğunu ifade etti.
Ancak, Change Healthcare veri ihlali duyurusunu aradığınızda, dikkat çekici bir şekilde bu web sayfasını bulmanız zorlaşıyor.
Arama Motorlarından Gizlenme Stratejisi
TechCrunch’ın veri ihlali duyurusunun web sayfası kaynak kodunu incelemesi, Change Healthcare’ın bu duyuruda gizli “noindex” kodu kullandığını ortaya çıkardı. Bu kod, arama motorlarına bu sayfayı göz ardı etmeleri için talimat veriyor ve bu durum, kullanıcıların ihlal bildirimine ulaşmalarını güçleştiriyor. Şirket, bu “noindex” kodunu en az 20 Kasım 2024’ten beri kullanıyordu.
Yetersiz Bildirim ve Devlet Müdahalesi
Change Healthcare, etkilenen bireylere bildirimde bulunma konusunda yavaş hareket etmekle eleştirildi. Şirket, ç stolen verilerin kopyasını aldıktan dört ay sonra bu bireylere bildirim yapmaya başladı. Bu gecikme, California, Massachusetts, Nebraska ve New Hampshire gibi bazı ABD eyaletlerinin devreye girip, sakinleri kimlik hırsızlığı ve dolandırıcılığına karşı dikkatli olmaları konusunda uyarmasına neden oldu.
Aralık 2024’te Nebraska, bu ihlale yol açan bir dizi güvenlik açığı nedeniyle Change Healthcare’a karşı yasal işlem başlattı. Eyalet’in başsavcısı Mike Hilgers, Change Healthcare’ın etkilenen bireylere yeterli bildirimde bulunmamasının eyalet vatandaşlarını “hassas kişisel finansal, sağlık ve kimlik bilgileri” açısından daha savunmasız bıraktığını söyledi.
“`
