Cencora, Mayıs ayında yaptığı açıklamada, Şubat ayında meydana gelen olayın hastaların destek programları kapsamında iş birliği yaptığı ilaç üreticileriyle paylaştığı bilgilerin tehlikeye girmesine yol açtığını belirtti. Bu ilaç üreticileri arasında AbbVie, Bayer, Pfizer ve Regeneron gibi büyük şirketler yer alıyor.
Cencora, veri ihlali bildiriminde tehlikeye giren verilerin; hasta adlarını, posta adreslerini, doğum tarihlerini, sağlık teşhisleri, reçeteleri ve ilaçlarıyla ilgili bilgileri içerdiğini belirtti.
Şirket, veri ihlalinin kötü niyetli bir siber saldırı mı yoksa bir güvenlik açığı mı olduğu konusunda herhangi bir ayrıntı vermeyi reddetti. Ayrıca, ihlal hakkında bilgilendirilen kişi sayısını da doğrulamayı reddetti.
Cencora’nın en az 1,43 milyon kişiyi bu olayla ilgili olarak bilgilendirdiği tahmin ediliyor. Bu tahminler, Delaware, Iowa, Massachusetts, Montana, New Hampshire, Teksas ve Washington gibi ABD eyaletlerinin başsavcılarının web sitelerinde yayınlanan veri ihlali bildirimlerine dayandırılıyor. Teksas, şu ana kadar en çok sayıda insanın bilgilendirildiği eyalet olarak öne çıkıyor ve bu sayı 1,05 milyon kişiye ulaşıyor.
Cencora, etkilenen bireylere en son veri ihlali bildirimini Temmuz ortasında gönderdi, bu da şirketin hala etkilenen kişileri bilgilendirmeye devam ettiğini gösteriyor.
Veri ihlalinden etkilenen kişi sayısının muhtemelen çok daha yüksek olduğu tahmin ediliyor. Cencora, kendi veri ihlali bildiriminde tüm etkilenen kişilere ulaşamayacağını, çünkü güncel adres bilgilerine sahip olmadığını kabul etti.
Şirket, bu yılın başlarında en az 18 milyon hastaya hizmet verdiğini belirtmişti.
Cencora sözcüsü Mike Iorfino, yaptığı açıklamada, şu ana kadar bilgilendirilen kişi sayısını kabul ederken daha doğru bir sayı vermeyi veya konuya ilişkin yorum yapmayı reddetti.
1,42 milyon insanın etkilendiği bu veri ihlali, 2024 yılı içinde sağlıkla ilgili en büyük bilgi ihlallerinden biri olarak öne çıkıyor. ABD Sağlık ve İnsan Hizmetleri Departmanı (HHS) tarafından yayınlanan veri ihlalleri listesine göre, bu olay sağlık sektöründeki en büyük veri ihlallerinden biri olarak yer alıyor.
HHS’nin 2024 yılına ait güncel listesine göre, sağlık sigortası devi Kaiser, hastaların kişisel ve sağlık bilgilerini yanlışlıkla reklamverenlerle paylaştıktan sonra 13,4 milyondan fazla kişiyi bilgilendirdi; reçete yönetim şirketi Sav-Rx, 2,8 milyon kişiyi bir siber saldırıda sağlık bilgilerinin çalındığı konusunda uyardı. Sağlık yardımları yöneticisi WebTPA ise 2,5 milyon kişiye sigorta bilgileri ve Sosyal Güvenlik numaralarının siber suçlular tarafından çalındığını bildirdi.
Henüz kesin olarak kaç kişinin etkilendiği açıklanmamış olsa da, Şubat ayında UnitedHealth’in sağlık teknoloji iştiraki Change Healthcare’a yönelik yapılan fidye yazılımı saldırısının, ABD tarihindeki en büyük sağlıkla ilgili veri ihlallerinden biri olarak kabul edilebileceği tahmin ediliyor ve bu durumun “Amerika’daki insanların önemli bir kısmını” etkilediği düşünülüyor (muhtemelen en az 100 milyon ABD sakini).
Cencora, kendi veri ihlalinin Change Healthcare’a yönelik fidye yazılımı saldırısı ve veri ihlali ile “hiçbir bağlantısının olmadığını” belirtti.
