Esse Health Veri İhlali 2.53 Milyon Dolarlık Uzlaşma – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Esse Health Veri İhlali İçin 2.53 Milyon Dolar Ödeyecek

St. Louis merkezli sağlık hizmeti sağlayıcısı Esse Health, 227.000'den fazla hastayı etkileyen veri ihlali davasını sonuçlandırmak için 2.53 milyon dolarlık bir uzlaşmayı kabul etti. İhlal, bir çalışanın oltalama saldırısına maruz kalmasıyla gerçekleşti.

St. Louis merkezli sağlık kuruluşu Esse Health, 227.000'den fazla hastayı etkileyen veri ihlali davasını 2.53 milyon dolar ödeyerek sonlandırdı. Detaylar.

Olay Özeti

St. Louis merkezli önemli bir sağlık hizmeti sağlayıcısı olan Esse Health, Ağustos 2022'de yaşanan ve yaklaşık 227.341 hastanın kişisel ve sağlık bilgilerini ifşa eden büyük bir veri ihlali sonrasında açılan toplu dava davasını çözüme kavuşturmak için 2,53 milyon dolarlık bir uzlaşma anlaşmasını kabul etti. Bu anlaşma, şirketin herhangi bir suçlamayı kabul etmediği ancak uzun ve maliyetli bir hukuk mücadelesinden kaçınmak için attığı bir adım olarak görülüyor. Veri sızıntısı, bir çalışanın e-posta hesabına yönelik başarılı bir oltalama (phishing) saldırısı sonucunda meydana geldi ve siber saldırganların hassas hasta verilerine erişmesine olanak tanıdı.

Olayın keşfedilmesi 29 Ağustos 2022'de gerçekleşti. Esse Health, bir çalışanının e-posta hesabında şüpheli aktiviteler fark ettiğinde derhal bir soruşturma başlattı. Yapılan incelemeler, yetkisiz bir üçüncü tarafın, oltalama yöntemiyle çalışanın kimlik bilgilerini ele geçirdiğini ve bu sayede e-posta hesabına sızdığını ortaya koydu. Bu erişim, saldırganların hesap içinde bulunan ve çok sayıda hastaya ait Korunan Sağlık Bilgileri (PHI) içeren e-postalara ve e-posta eklerine ulaşmasını sağladı. Esse Health, olayın ardından etkilenen bireyleri bilgilendirme ve yasal süreçleri yönetme sorumluluğuyla karşı karşıya kaldı. Bu uzlaşma, hem mağdurlara bir miktar tazminat sunmayı hem de şirketin gelecekteki siber güvenlik önlemlerini güçlendirme taahhüdünü içeriyor.

Sızdırılan Veriler ve Kapsam

Veri ihlalinin kapsamı oldukça geniş ve hassas nitelikte bilgiler içeriyor. Esse Health tarafından yapılan açıklamaya göre, saldırganların erişim sağladığı veriler arasında hastaların temel demografik bilgilerinden çok daha fazlası bulunuyor. İfşa olan veriler şunları içermektedir:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Kişisel Tanımlayıcı Bilgiler: Adlar, soyadlar ve doğum tarihleri gibi temel kimlik bilgileri.
  • Sağlık Sigortası Bilgileri: Poliçe numaraları ve sigorta şirketi detayları.
  • Tıbbi Kayıt Bilgileri: Tıbbi kayıt numaraları, hasta hesap numaraları.
  • Klinik Bilgiler: Teşhisler, tedavi bilgileri, laboratuvar sonuçları, reçeteli ilaçlar gibi son derece özel ve hassas sağlık verileri.
  • Finansal Bilgiler: Etkilenen hastaların küçük bir kısmı için Sosyal Güvenlik Numaraları (SSN) ve finansal hesap bilgileri de sızdırılan veriler arasında yer alıyor.

Bu tür verilerin bir arada sızdırılması, mağdurlar için ciddi riskler doğurmaktadır. Kimlik hırsızlığı, tıbbi kimlik hırsızlığı (başkalarının sizin bilgilerinizle sağlık hizmeti alması), sigorta dolandırıcılığı ve hedefe yönelik oltalama saldırıları bu risklerden sadece birkaçıdır. Özellikle teşhis ve tedavi gibi bilgilerin kötü niyetli kişilerin eline geçmesi, şantaj gibi daha ciddi suçlar için de kullanılabilir. Şirket, toplamda 227.341 kişinin bu ihlalden etkilendiğini doğrulamıştır.

Saldırının Teknik Boyutu

Esse Health veri ihlalinin temelinde yatan siber saldırı vektörü, oldukça yaygın ve etkili bir yöntem olan oltalama (phishing) saldırısıdır. Oltalama, siber suçluların meşru bir kurum veya kişi gibi davranarak hedefledikleri kişileri kandırdığı bir sosyal mühendislik tekniğidir. Genellikle e-posta yoluyla gerçekleştirilir ve hedeften kullanıcı adı, şifre, kredi kartı bilgileri gibi hassas verileri çalmak veya sistemlerine kötü amaçlı yazılım bulaştırmak amacıyla tasarlanır.

Bu olayda, saldırganlar Esse Health çalışanına, büyük olasılıkla bilinen bir hizmet sağlayıcıdan (örneğin Microsoft 365, Google Workspace) geliyormuş gibi görünen sahte bir e-posta göndermiştir. Bu e-postada, çalışandan şifresini yenilemesi, hesabını doğrulaması veya önemli bir belgeyi açması istenmiş olabilir. E-postadaki linke tıklayan çalışan, gerçek giriş sayfasına çok benzeyen sahte bir web sayfasına yönlendirilmiştir. Çalışan, bu sahte sayfaya kullanıcı adını ve şifresini girdiğinde, bu kimlik bilgileri doğrudan saldırganların eline geçmiştir. Saldırganlar daha sonra bu bilgileri kullanarak çalışanın e-posta hesabına yasal bir kullanıcı gibi giriş yapmış ve içerideki tüm verilere sınırsız erişim elde etmiştir. Bu tür bir saldırı, genellikle teknik bir zafiyetten çok insan faktörünü hedef alır, bu da siber güvenlik eğitiminin önemini bir kez daha ortaya koymaktadır.

Etkilenen Kullanıcılar Kimler

Bu veri ihlalinden doğrudan etkilenenler, Esse Health'ten sağlık hizmeti almış veya almakta olan hastalardır. Şirketin resmi açıklamasına göre, toplamda 227.341 hasta bu durumdan etkilenmiştir. Toplu dava anlaşması kapsamında, bu bireyler "dava sınıfı üyesi" olarak kabul edilmektedir. Bu, 29 Ağustos 2022'de veya civarında Esse Health tarafından veri ihlali hakkında bilgilendirilen tüm ABD sakinlerini kapsamaktadır.

Dava sınıfı üyeleri, uzlaşma fonundan belirli koşullar altında tazminat talep etme hakkına sahiptir. Anlaşma, mağdurlara iki farklı tazminat seçeneği sunmaktadır. İlk seçenek, ihlal nedeniyle ortaya çıkan sıradan masraflar için 500 dolara kadar geri ödeme talep etmektir. Bu masraflar, kredi raporlarını kontrol etme, dolandırıcılık uyarıları yerleştirme veya banka ücretleri gibi harcamaları içerebilir. İkinci seçenek ise, kanıtlanmış kimlik hırsızlığı veya dolandırıcılık vakaları sonucu ortaya çıkan olağanüstü masraflar için 5.000 dolara kadar tazminat talep etme imkanı sunar. Ayrıca, tüm dava sınıfı üyeleri, kimlik hırsızlığına karşı korunmalarına yardımcı olmak amacıyla iki yıllık ücretsiz kredi izleme ve kimlik hırsızlığı koruma hizmetlerinden yararlanma hakkına sahiptir.

Ne Yapmalısınız

Eğer Esse Health veri ihlalinden etkilendiğinizi düşünüyorsanız veya bir bildirim aldıysanız, kişisel ve finansal güvenliğinizi korumak için atmanız gereken bazı önemli adımlar bulunmaktadır:

  • Uzlaşma Avantajlarından Yararlanın: Dava sınıfı üyesiyseniz, size sunulan ücretsiz kredi izleme hizmetlerini mutlaka etkinleştirin. Bu hizmetler, adınıza yeni bir hesap açılması veya şüpheli finansal hareketler olması durumunda sizi uyaracaktır. Ayrıca, ihlal nedeniyle yaptığınız masraflar için tazminat talebinde bulunma hakkınızı kullanın.
  • Hesaplarınızı Gözden Geçirin: Banka hesaplarınızı, kredi kartı ekstrelerinizi ve sağlık sigortası beyanlarınızı (EOB - Explanation of Benefits) düzenli olarak kontrol edin. Tanımadığınız veya şüpheli bulduğunuz herhangi bir işlemi derhal ilgili kuruma bildirin.
  • Şifrelerinizi Değiştirin: Özellikle Esse Health ile ilgili online portallarda kullandığınız şifreleri ve diğer platformlarda kullandığınız benzer şifreleri hemen değiştirin. Güçlü ve benzersiz şifreler kullanmaya özen gösterin.
  • Oltalama Saldırılarına Karşı Dikkatli Olun: Siber suçlular, sızdırılan bilgilerinizi kullanarak size özel olarak tasarlanmış oltalama e-postaları gönderebilir. Bilinmeyen kaynaklardan gelen e-postalardaki linklere tıklamaktan veya ekleri indirmekten kaçının.
  • Kredi Raporlarınızı Dondurun: Daha proaktif bir önlem olarak, üç büyük kredi bürosu (Equifax, Experian, TransUnion) nezdindeki kredi raporlarınızı dondurmayı düşünebilirsiniz. Bu, sizin izniniz olmadan kimsenin adınıza yeni bir kredi hesabı açmasını engeller.

Şirketin Açıklaması

Esse Health, veri ihlalinin ardından yaptığı açıklamalarda ve yasal süreçte, siber güvenlik konusundaki ciddiyetini vurgulamıştır. Şirket, olayın keşfedilmesinin hemen ardından, hesabın güvenliğini sağlamak, saldırının kapsamını belirlemek ve gelecekte benzer olayların yaşanmasını önlemek için adımlar attığını belirtmiştir. Bu adımlar arasında, dış siber güvenlik uzmanlarıyla çalışarak kapsamlı bir soruşturma yürütmek ve iç güvenlik protokollerini gözden geçirmek yer almaktadır.

Toplu dava uzlaşmasıyla ilgili olarak Esse Health, bu anlaşmanın bir suçluluk veya ihmal kabulü anlamına gelmediğini özellikle belirtmiştir. Şirket, yasal bir anlaşmazlığı çözmek ve uzun sürebilecek bir mahkeme sürecinin belirsizliklerinden ve masraflarından kaçınmak için bu yola başvurduğunu ifade etmiştir. Anlaşmanın bir parçası olarak Esse Health, veri güvenliği uygulamalarını daha da güçlendirmeyi taahhüt etmiştir. Bu taahhütler arasında, çalışanlara yönelik siber güvenlik eğitimlerinin artırılması, e-posta güvenliği sistemlerinin iyileştirilmesi ve veri erişim kontrollerinin sıkılaştırılması gibi önlemlerin yer alması beklenmektedir. Şirket, hasta verilerinin gizliliğini ve güvenliğini korumanın en önemli öncelikleri arasında olduğunu kamuoyuna duyurmuştur.

Kaynak

https://www.hipaajournal.com/esse-health-data-breach-settlement/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Pwn2Own 2026'da Windows 11 ve Exchange Hacklendi Sonraki Yazı → Gandara Akıl Sağlığı Merkezi Veri İhlali Davasında Uzlaştı

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.