ABD’de sağlık verileri ile ilgili yeni bir güvenlik açığa çıktı. Hükümet yüklenicisi MOVEit’teki açık ile 8 ila 11 milyon kişinin verileri sızdırıldı.
Maximus ile sözleşme yapan ABD hükümet hizmetleri, bilgisayar korsanlarının MOVEit Transfer’deki bir güvenlik açığından yararlanarak 11 milyon kadar kişinin korunan sağlık bilgilerine eriştiğini doğruladı.
Virginia merkezli Maximus, Medicaid, Medicare, sağlık reformu ve işe refah gibi devlet destekli programları yönetmek ve yönetmek için federal, eyalet ve yerel yönetimlerle sözleşmeler yapıyor. Temmuz ayının son haftasında 8 binlik bir dosyalamada Maximus, “önemli sayıda” bireyin kişisel bilgilerine, kuruluşun “hükümet müşterileriyle ilgili verileri paylaşmak” için kullandığı MOVEit Transfer’deki sıfır günlük bir güvenlik açığından yararlanan bilgisayar korsanları tarafından erişildiğini doğruladı. Yani hükümetin yüklenici olarak çalıştığı firma kaynaklı olarak ABD’de sağlık verileri açığa çıktı.
Etkilenen kişilerle iligli doğrulama çalışması devam ediyor
Maximus, etkilenen kişilerin tam sayısını henüz doğrulayamadı. Kuruluş, bilgisayar korsanlarının Sosyal Güvenlik numaraları ve korunan sağlık bilgileri de dahil olmak üzere kişisel verilere eriştiğine inandığını söyledi. Etkilenen kişi sayısının 8 ila 11 milyon arasında olduğu tahmin ediliyor. İkincisi ise, bu ihlali bu yılki en büyük sağlık verileri ihlali ve MOVEit toplu saldırılarının bir sonucu olarak bildirilen en önemli veri ihlali haline getirecek. Maximus, hangi belirli sağlık verilerine erişildiğini doğrulamadı. 8-K dosyalamasında şirket, etkilenen müşterileri ve federal ve eyalet düzenleyicilerini bilgilendirmeye başladığını ve güvenlik olayının soruşturulması ve düzeltilmesinin yaklaşık 15 milyon dolara mal olmasını beklediğini de sözlerine ekledi.
MOVEit toplu saldırılarından sorumlu Rusya bağlantılı veri şantaj grubu Clop, Maximus’tan henüz yayınlamadığı 169 gigabayt veri çaldığını iddia ediyor. Maximus, Clop’un karanlık web sızıntı sitesinde görünmesi için MOVEit Transfer saldırılarından etkilenen yüzlerce kuruluştan biri. Yalnızca bu hafta, fidye yazılımı grubu, aralarında muhasebe devi Deloitte ve Fox Bets ve Poker Stars’ın sahibi olan küresel spor bahisleri sağlayıcısı Flutter’ın da bulunduğu bir dizi yeni kurban ekledi. Deloitte sözcüsü Sutton Meagher, şirketin olayla ilgili analizinin “savunmasız MOVEit Transfer yazılımının küresel ağ kullanımının sınırlı olduğunu belirlediğini” söyledi. Şirketin “müşteri verileri üzerinde herhangi bir etki kanıtı görmediğini” ekledi. Clop ayrıca yakın zamanda muhasebe firmaları PwC ve Ernst & Young’ı en son kurbanları olarak listeledi.