Datavant Məlumat Sızması İddiasında 900 Min Dollarlıq Razılaşma – Veri Sızıntısı
Live
Sorğu
Korporativ
Haqqımızda Qurucunun notu Mətbuat & Media Məxfilik siyasəti İstifadə şərtləri TSS Mətbuat Kiti
Məhsullar
HUBOne HUBCorp Tezliklə Veri Sızıntısı Android Tezliklə Veri Sızıntısı iOS Tezliklə Veri Sızıntısı Huawei Tezliklə Breach Radar Argus Flow Argus Engine LivePlatform
Texnologiyalar
Argus AI Nədir? HUBOne'da sına Argus Flow nədir? Argus Engine Nədir?
Bloq Əlaqə

Datavant Məlumat Sızması üçün 900 Min Dollar Ödəyəcək

Səhiyyə məlumatları nəhəngi Datavant Group, minlərlə xəstənin qorunan sağlamlıq məlumatlarının (PHI) sızmasına səbəb olan məlumat pozuntusu ilə bağlı qrup iddiasını həll etmək üçün 900.000 dollarlıq bir razılaşma əldə edib. Razılaşma, şirkətin heç bir günahı qəbul etmədiyi bir kompromisdir.

Datavant Group loqosu, şirkətin məlumat sızması iddiası üçün 900.000 dollarlıq razılaşmasını təsvir edir.

Nə Baş Verdi

Səhiyyə texnologiyası və məlumat analitikası sahəsində fəaliyyət göstərən Datavant Group, başını ağrıdan bir qrup iddiası prosesini başa çatdırmaq üçün pul kisəsini açıb. Şirkət, minlərlə xəstənin həssas sağlamlıq məlumatlarının sızmasına səbəb olduğu iddia edilən bir məlumat pozuntusu ilə bağlı açılan məhkəmə işində iddiaçılarla 900.000 dollarlıq bir barışıq fondu üzərində razılaşıb. Bu addım, uzun və daha baha başa gələ biləcək bir hüquqi mübarizədən yayınma cəhdi kimi qiymətləndirilir. Razılaşmanın yekun təsdiqi üçün məhkəmə prosesi davam etsə də, tərəflərin prinsipial olaraq razılığa gəlməsi, hadisənin qurbanlar üçün bir sonluğa doğru irəlilədiyini göstərir.

Bəs, bu nöqtəyə necə gəlindi? Hər şey Datavant-ın sistemlərində aşkar edilən bir təhlükəsizlik boşluğu ilə başladı. İddiaçılar, şirkətin kiberhücumçuların şəbəkələrinə sızmasının və son dərəcə şəxsi olan qorunan sağlamlıq məlumatlarını (PHI) ələ keçirməsinin qarşısını almaq üçün ağlabatan kiber təhlükəsizlik tədbirləri görmədiyini iddia etdi. Bu cür iddialarda adətən səhlənkarlıq, müqavilənin pozulması və əsassız zənginləşmə kimi ittihamlar irəli sürülür. İddiaçılara görə, Datavant məlumatlarını qorumaqla mükəlləf olduğu şəxslərə qarşı vəzifəsini yerinə yetirməmişdi. Şirkət isə bu iddiaları rədd edir. Onlar verdikləri açıqlamada təhlükəsizlik sistemlərinin yetərli olduğuna inandıqlarını, lakin məhkəmə prosesinin gətirəcəyi vaxt və xərc yükündən yayınmaq üçün bu razılaşmanı seçdiklərini bildiriblər. Bu, bu cür iddialarda tez-tez rast gəlinən standart bir hüquqi mövqedir; şirkətlər günahlarını qəbul etmədən məsələni bağlamağa üstünlük verirlər. Bu 900.000 dollarlıq fond həm pozuntudan birbaşa təsirlənən şəxslərin cibdən etdikləri xərcləri ödəmək, həm də məlumat sızması səbəbindən sərf etdikləri vaxtı kompensasiya etmək üçün istifadə olunacaq. Yəni, əgər bu hadisə üzündən kredit izləmə xidməti almısınızsa və ya bankınızla saatlarla telefon danışığı aparmaq məcburiyyətində qalmısınızsa, bu fonddan bir pay ala bilərsiniz.

Ələ Keçirilən Məlumatlar

Kiberhücumçuların hədəfində nə vardı? Qısacası, ən məhrəm məlumatlarımız. Məhkəmə sənədlərinə görə, oğurlanmış məlumatlar arasında HIPAA (Sağlamlıq Sığortasının Daşınması və Hesabatlılığı Qanunu) çərçivəsində qorunan çox müxtəlif şəxsi və tibbi məlumatlar var. Bu, sadə bir e-poçt sızmasından çox daha artığıdır. Siyahının nə qədər həssas olduğunu anlamaq üçün bir nəzər salaq:

E-poçtunuz sızdırılıb? Pulsuz yoxlayın — saniyələr içində nəticə.

İndi Yoxla →
  • Tam Adlar və Ünvanlar: Şəxsiyyətinizin təməl daşları.
  • Doğum Tarixləri: Şəxsiyyət oğurluğunda tez-tez istifadə olunan bir digər açar məlumat.
  • Sosial Təminat Nömrələri (SSN): Bəlkə də ən kritik məlumat. SSN-niz ələ keçirildikdə, adınıza kredit kartları açıla bilər, saxta vergi bəyannamələri doldurula bilər.
  • Tibbi Qeyd Nömrələri: Səhiyyə sistemindəki unikal kimliyiniz.
  • Sağlamlıq Sığortası Məlumatları: Siyasət nömrələri və qrup məlumatları daxil olmaqla. Bu məlumatlarla fırıldaqçılar sizin sığortanız üzərindən saxta tibbi xidmət tələblərində buluna bilərlər.
  • Diaqnoz və Müalicə Məlumatları: Bəlkə də ən özəl hissə budur. Keçirdiyiniz xəstəliklər, aldığınız müalicələr, istifadə etdiyiniz dərmanlar kimi son dərəcə şəxsi məlumatlar. Bu cür məlumatların ifşası təkcə maliyyə deyil, həm də şəxsi və peşəkar həyatınız üçün də dağıdıcı nəticələr doğura bilər.

Bu məlumatların bir araya gəlməsi, kibercinayətkarlar üçün bir xəzinə kimidir. Buna "tibbi şəxsiyyət oğurluğu" deyilir. Kimsə sizin məlumatlarınızla sizin adınıza tibbi xidmət ala bilər, dərman yazdıra bilər və bütün bunlar sizin qeydlərinizə işlənir. Bu vəziyyət, gələcəkdəki tibbi baxımınızı təhlükəyə ata bilər; məsələn, qan qrupunuzun və ya allergiyalarınızın yanlış qeyd edilməsinə səbəb ola bilər. Buna görə də bu sızma, sadə bir parol dəyişdirməklə həll edilə bilməyəcək qədər dərin və qalıcı risklər daşıyır.

Hücum Necə Həyata Keçirildi

Datavant, hücumun texniki təfərrüatları mövzusunda olduqca ağzıqapalı davranır. Məhkəmə sənədlərində və ictimaiyyətə verilən açıqlamalarda, kiberhücumçuların onların şəbəkəsinə tam olaraq necə sızdığına dair aydın bir məlumat verilmir. Bu, adətən davam edən təhlükəsizlik təkmilləşdirmələrini və ya şirkətin nüfuzunu qorumaq strategiyasının bir hissəsidir. Ancaq, kiber təhlükəsizlik dünyasındakı təcrübələrimizə və bənzər hadisələrə əsaslanaraq bəzi mümkün ssenariləri qiymətləndirə bilərik.

Ən yayılmış ssenarilərdən biri fişinq (phishing) hücumudur. Bir işçinin qanuni görünən saxta bir e-poçtdakı linkə tıklaması və ya bir əlavəni açması, hücumçulara şəbəkəyə ilk giriş nöqtəsini təmin edə bilər. Bu ilk addımdan sonra, hücumçular şəbəkə daxilində üfüqi olaraq hərəkət edərək daha çox səlahiyyət və məlumat əldə etməyə çalışır. Səhiyyə sektorundakı şirkətlər, gərgin iş axınları səbəbindən bu cür sosial mühəndislik hücumlarına qarşı xüsusilə həssas ola bilirlər.

Bir başqa güclü ehtimal, yamalanmamış bir təhlükəsizlik boşluğudur. Şirkətlərin istifadə etdiyi proqram təminatlarında və ya serverlərdə aşkar edilən təhlükəsizlik zəiflikləri, hücumçular üçün açıq bir qapı buraxır. Əgər Datavant, istifadə etdiyi bir üçüncü tərəf proqramında və ya öz sistemlərində bilinən bir boşluğu vaxtında bağlamayıbsa, hücumçular bunu istismar etmiş ola bilər. MOVEit kimi fayl transfer proqramlarındakı zəifliklərin son illərdə nə qədər böyük sızmalara səbəb olduğunu unutmamaq lazımdır. Datavant kimi böyük məlumatları emal edən şirkətlər, bu cür transfer vasitələrindən geniş şəkildə istifadə edirlər.

Nəhayət, səhv konfiqurasiya edilmiş bulud serverləri də tez-tez rast gəlinən bir problemdir. Məlumatların şifrələnmədən və ya parol qorunması olmadan ictimai bir bulud yaddaş sahəsində buraxılması, sadə bir internet axtarışı ilə belə bu məlumatlara daxil olmağa imkan yarada bilər. Bu, birbaşa "hack" olmasa da, səhlənkarlıq nəticəsində məlumatların ifşa edilməsidir və hüquqi nəticələri eyni dərəcədə ciddidir. Datavant-ın hadisənin tam olaraq necə baş verdiyini açıqlamaqdan çəkinməsi, bu ssenarilərdən hər hansı birinin və ya bir kombinasiyasının etibarlı ola biləcəyini düşündürür.

Kimlər Təsirlənib

Bu məlumat pozuntusunun qurbanları birbaşa Datavant-ın müştərisi olan insanlar deyil. Məhz bu məqam çox vacibdir. Datavant, xəstəxanalara, klinikalara, sığorta şirkətlərinə və digər səhiyyə təşkilatlarına məlumat idarəçiliyi və analitik xidmətləri təqdim edən bir B2B (şirkətdən şirkətə) firmasıdır. Yəni, siz yəqin ki, Datavant adını daha əvvəl heç eşitməmisiniz, ancaq həkiminizin ofisi və ya sığorta şirkətiniz məlumatlarınızı emal etmək üçün onların xidmətlərindən istifadə edirdi.

Buna görə də, təsirlənənlər Datavant-ın xidmət göstərdiyi bu səhiyyə təşkilatlarının xəstələridir. Bu vəziyyət, kiber təhlükəsizlikdə "təchizat zənciri riski" olaraq bilinən anlayışın mükəmməl bir nümunəsidir. Siz məlumatlarınızı etibar etdiyiniz xəstəxananıza əmanət edirsiniz, ancaq o xəstəxana bu məlumatları emal etmək üçün başqa bir şirkətlə işləyir. Əgər o üçüncü tərəf şirkət bir pozuntu yaşayarsa, sizin məlumatlarınız da təhlükəyə girir. Buna görə də, bu iddianın sinfini təşkil edən şəxslər, müəyyən bir zaman kəsiyində Datavant-ın müştərisi olan səhiyyə xidməti təminatçılarından xidmət almış xəstələrdir. Əgər sizə bu iddia ilə bağlı bir bildiriş məktubu və ya e-poçt gəlibsə, yəqin ki, siz də bu qrupa daxilsiniz. Razılaşma sənədlərində, iddiadan faydalana biləcək şəxslərin tərifi aydın şəkildə göstərilir və adətən pozuntunun baş verdiyi tarixlərdə məlumatları Datavant sistemlərində olan şəxsləri əhatə edir.

Nə Edə Bilərsiniz

Əgər bu məlumat pozuntusundan təsirləndiyinizi düşünürsünüzsə və ya bir bildiriş almısınızsa, oturub gözləmək əvəzinə ata biləcəyiniz konkret addımlar var. Budur klişe "parolunuzu dəyişdirin" tövsiyəsinin xaricində, bu vəziyyətə xas olaraq etməli olduğunuz şeylər:

  1. Razılaşma Veb Saytını Yoxlayın: Qrup iddialarının adətən öz rəsmi veb saytları olur. Bu sayt vasitəsilə, iddianın sinfinə daxil olub olmadığınızı yoxlaya bilər və iddia tələb etmək üçün lazımi formalara çata bilərsiniz. "Datavant class action settlement" kimi bir axtarışla bu saytı tapa bilərsiniz.
  2. İddia Tələb Edin (İddia Formunu Doldurun): Razılaşma fondundan pay almaq üçün son tarixdən əvvəl bir iddia formu doldurmalısınız. Bu formada, pozuntu səbəbindən etdiyiniz xərcləri sənədləşdirməyiniz tələb oluna bilər. Məsələn, kredit hesabatlarınızı dondurmaq üçün ödədiyiniz haqlar, şəxsiyyət oğurluğu qurbanı olmanızı həll etmək üçün vəkillərə və ya məsləhətçilərə ödənilən pullar və ya bu işlərlə məşğul olarkən itirdiyiniz vaxt üçün (adətən müəyyən bir saatlıq haqq üzərindən) tələbdə buluna bilərsiniz. Sənədlərinizi (qəbzlər, fakturalar) saxlayın.
  3. Tibbi Hesabatlarınızı və Sığorta Açıqlamalarınızı Nəzərdən Keçirin: Bu ən kritik addımdır. Sığorta şirkətinizdən gələn "Faydaların Açıqlaması" (Explanation of Benefits - EOB) sənədlərini diqqətlə yoxlayın. Sizin almadığınız müalicələr, ziyarət etmədiyiniz həkimlər və ya sizə yazılmamış dərmanlar varmı? Öz tibbi qeydlərinizdə şübhəli bir giriş görsəniz, dərhal səhiyyə təminatçınızla və sığorta şirkətinizlə əlaqə saxlayın. Tibbi şəxsiyyət oğurluğu, düzəldilməsi çətin bir problemdir.
  4. Kredit Hesabatlarınıza Təhlükəsizlik Kilidi Qoyun (Credit Freeze): Bu, fırıldaqçılıq xəbərdarlığından (fraud alert) daha güclü bir tədbirdir. Üç böyük kredit bürosu ilə (Equifax, Experian, TransUnion) əlaqə saxlayaraq hesabatlarınıza bir kilid qoya bilərsiniz. Bu, sizin icazəniz olmadan adınıza yeni bir kredit hesabının açılmasını demək olar ki, qeyri-mümkün edir. Bu proses adətən pulsuzdur və ehtiyacınız olduqda müvəqqəti olaraq qaldıra bilərsiniz.

Şirkət Nə Deyir

Datavant Group, məhkəmə prosesi boyunca və barışıq elanında ardıcıl bir mövqe nümayiş etdirdi. Şirkət, hər hansı bir qanunsuz davranışda və ya səhlənkarlıqda olduqları istiqamətindəki iddiaları şiddətlə rədd edir. Bu, qrup iddiası barışıqlarında standart bir prosedurdur və "günahın qəbul edilməməsi" maddəsi olaraq bilinir. Şirkətlər, bu maddə sayəsində məhkəmə işini sonlandırarkən gələcəkdəki mümkün başqa iddialarda bu barışığın əleyhlərinə bir dəlil olaraq istifadə edilməsinin qarşısını alırlar.

Şirkət sözçüsü tərəfindən verilən açıqlamada, "Məlumat təhlükəsizliyi və müştərilərimizin məxfiliyi bizim üçün ən yüksək səviyyədə prioritetdir. Sistemlərimizin hər zaman sənaye standartlarına uyğun və möhkəm olduğuna inanırıq. Ancaq bu iddianın davam etməsinin gətirəcəyi diqqət yayındırıcı amilləri və xərcləri nəzərə alaraq, iddiaçı tərəflə bir razılığa gəlməyin bütün tərəflər üçün ən konstruktiv yol olduğuna qərar verdik. Bu razılaşma, hər hansı bir qüsurun qəbulu demək deyil," ifadələrinə yer verildi. Həmçinin, hadisədən bu yana kiber təhlükəsizlik infrastrukturunu daha da gücləndirmək üçün əlavə investisiyalar etdiklərini və audit proseslərini sərtləşdirdiklərini də əlavə etdilər. Bu cür açıqlamalar, həm hüquqi mövqelərini qorumaq, həm də mövcud və potensial müştərilərə təhlükəsizlik mövzusunu ciddiyə aldıqları mesajını vermək üçün diqqətlə qələmə alınır.

Mənbə

https://www.hipaajournal.com/datavant-group-class-action-data-breach-settlement/

Bu Məqaləni Paylaş
X LinkedIn WhatsApp
← Əvvəlki Yazı Xüsusi Kəşfiyyat Şirkəti 48 Milyon Məlumat Sızdırdı Növbəti Yazı → Bir Milyon İnsanın Məlumatları Necə Üzə Çıxdı

Həftəlik Bülten

Hər həftə seçilmiş məlumat pozuntusu xəbərləri gələn qutunuza çatdırılsın.