Gandara Veri İhlali Davası Uzlaşmayla Sonuçlandı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Gandara Akıl Sağlığı Merkezi Veri İhlali Davasında Uzlaştı

Gandara Akıl Sağlığı Merkezi, binlerce hastanın hassas verilerini ifşa eden bir siber saldırının ardından açılan toplu davayı uzlaşmayla sonuçlandırdı. Anlaşma, mağdurlara tazminat ve kredi izleme hizmetleri sunuyor.

Gandara Akıl Sağlığı Merkezi, binlerce hastanın hassas verilerini ifşa eden siber saldırı sonrası açılan toplu davada uzlaşmaya vardı. Detayları öğrenin.

Olay Özeti

Massachusetts merkezli Gandara Akıl Sağlığı Merkezi, 2021 yılında yaşanan ve on binlerce hastanın kişisel ve tıbbi bilgilerini tehlikeye atan büyük bir veri ihlalinin ardından açılan toplu davayı sonuçlandırmak için bir uzlaşmaya vardığını duyurdu. Bu gelişme, siber güvenlik ihmali iddialarıyla karşı karşıya olan kurum için aylardır devam eden yasal sürecin sonuna gelindiğini gösteriyor. Uzlaşma, kurumun herhangi bir usulsüzlüğü kabul etmediğini belirtse de, veri ihlalinden etkilenen bireylerin zararlarını telafi etmeyi amaçlayan önemli bir adımı temsil ediyor.

Dava, Gandara'nın, siber suçluların ağına sızmasını ve son derece hassas hasta verilerini ele geçirmesini önlemek için yeterli siber güvenlik önlemlerini almadığını iddia ediyordu. Davacılar, merkezin ABD Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamındaki yükümlülüklerini yerine getirmediğini ve bu ihmalin bir sonucu olarak hastaların kimlik hırsızlığı, dolandırıcılık ve mahremiyetlerinin ihlali gibi ciddi risklerle karşı karşıya kaldığını savundu.

Sızdırılan Veriler ve Kapsam

Siber saldırı sonucunda sızdırılan verilerin niteliği, olayın ciddiyetini gözler önüne seriyor. Saldırganlar, hastaların temel kimlik bilgilerinin çok ötesine geçen bir veri hazinesine eriştiler. İfşa olan bilgiler arasında aşağıdakiler gibi son derece hassas veriler bulunmaktadır:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Tam Adlar ve Adresler: Hastaların kimlik tespiti için kullanılan temel bilgiler.
  • Doğum Tarihleri: Kimlik hırsızlığında sıkça kullanılan bir diğer kritik veri.
  • Sosyal Güvenlik Numaraları (SSN): ABD'de kimlik doğrulamanın temel taşı olan bu bilginin sızması, mali dolandırıcılık için kapıları ardına kadar açmaktadır.
  • Finansal Bilgiler: Banka hesap detayları veya ödeme bilgileri gibi veriler.
  • Korunan Sağlık Bilgileri (PHI): Bu, ihlalin en endişe verici yönüdür. PHI, hastaların teşhislerini, tedavi geçmişlerini, reçete edilen ilaçları, ruh sağlığı değerlendirmelerini ve doktor notlarını içerir. Bu tür bilgilerin ifşa olması, yalnızca finansal riskler değil, aynı zamanda sosyal damgalanma, ayrımcılık ve kişisel utanç gibi derin mahremiyet sorunlarına da yol açabilir.

Gandara tarafından yapılan resmi bildirimlere göre, veri ihlalinden yaklaşık olarak 100.000'den fazla mevcut ve eski hastanın etkilendiği tahmin edilmektedir. Bu rakam, saldırının ne kadar geniş bir kitleyi riske attığını ve uzlaşmanın neden bu kadar önemli olduğunu açıkça göstermektedir.

Saldırının Teknik Boyutu

Gandara Akıl Sağlığı Merkezi'nin yayınladığı bildirimlere ve dava dosyalarındaki bilgilere göre, saldırı yetkisiz bir üçüncü tarafın kurumun ağına sızmasıyla gerçekleşti. Saldırganların kullandığı kesin yöntem kamuoyuna ayrıntılı olarak açıklanmamış olsa da, bu tür olaylar genellikle birkaç yaygın siber saldırı vektöründen biriyle başlar. Olası senaryolardan biri, bir çalışanın kimlik bilgilerini çalmak için tasarlanmış bir kimlik avı (phishing) e-postasıdır. Çalışanın sahte bir e-postadaki kötü amaçlı bir bağlantıya tıklaması veya bir eki indirmesi, saldırganlara ağa ilk erişim noktasını sağlamış olabilir.

Ağa girdikten sonra, saldırganlar genellikle yanal hareket olarak bilinen bir teknikle ağ içinde gezinirler. Bu süreçte, daha fazla yetki elde etmeye ve en değerli verilerin depolandığı sunucuları veya veritabanlarını bulmaya çalışırlar. Gandara vakasında, saldırganlar hasta kayıtlarını içeren kritik sistemlere ulaşmayı başarmış ve bu verileri ağ dışına çıkarmışlardır. Bu durum, kurumun ağ segmentasyonu, erişim kontrolü ve anomali tespiti gibi temel siber güvenlik savunmalarında eksiklikler olabileceğine işaret etmektedir. HIPAA kuralları, sağlık kuruluşlarının bu tür sızıntıları önlemek için "makul ve uygun" idari, teknik ve fiziksel güvenlik önlemleri almasını zorunlu kılar.

Etkilenen Kullanıcılar Kimler

Bu veri ihlalinden doğrudan etkilenenler, belirli bir zaman diliminde Gandara Akıl Sağlığı Merkezi'nden hizmet almış veya kayıt yaptırmış olan mevcut ve eski hastalardır. Dava belgelerine göre, ihlalden etkilenme potansiyeli olan kişiler, merkezin sistemlerinde verileri bulunan herkestir. Bu, hem yetişkin hastaları hem de reşit olmayanları kapsayabilir, bu da durumu daha da hassas hale getirmektedir.

Bu bireyler için riskler çok yönlüdür. Sosyal Güvenlik Numaraları ve finansal bilgilerin sızması, adlarına sahte krediler çekilmesi, banka hesaplarının boşaltılması veya sahte vergi beyannameleri doldurulması gibi doğrudan mali dolandırıcılık riskleri yaratır. Daha da önemlisi, akıl sağlığı teşhisleri ve tedavi notları gibi son derece özel tıbbi bilgilerin sızması, mağdurların iş veya özel yaşamlarında ayrımcılığa uğramasına, sosyal dışlanmaya veya şantaja maruz kalmasına neden olabilir. Bu tür verilerin karanlık ağda (dark web) satılması, bu riskleri daha da artırmaktadır.

Ne Yapmalısınız

Eğer Gandara Akıl Sağlığı Merkezi'nden hizmet aldıysanız ve bu veri ihlalinden etkilendiğinizi düşünüyorsanız, haklarınızı korumak ve potansiyel zararı en aza indirmek için atabileceğiniz birkaç önemli adım vardır:

  • Uzlaşma Web Sitesini Kontrol Edin: Davanın resmi uzlaşma web sitesini ziyaret ederek uzlaşma sınıfına dahil olup olmadığınızı ve talepte bulunma kriterlerini kontrol edin.
  • Kredi Raporlarınızı İzleyin: Equifax, Experian ve TransUnion gibi büyük kredi bürolarından ücretsiz yıllık kredi raporlarınızı talep edin. Hesaplarınızda şüpheli veya tanımadığınız herhangi bir aktivite olup olmadığını dikkatlice inceleyin.
  • Dolandırıcılık Uyarısı ve Kredi Dondurma: Kredi raporlarınıza bir dolandırıcılık uyarısı eklemeyi veya daha güçlü bir önlem olarak kredinizi dondurmayı düşünün. Kredi dondurma, yeni kredi hesaplarının adınıza açılmasını engeller.
  • Ücretsiz Kredi İzleme Hizmetinden Yararlanın: Uzlaşmanın bir parçası olarak Gandara, genellikle etkilenen bireylere birkaç yıllık ücretsiz kimlik hırsızlığı ve kredi izleme hizmeti sunar. Bu hizmete mutlaka kaydolun.
  • Şüpheli İletişimlere Karşı Dikkatli Olun: Veri ihlalini bahane ederek sizi arayan, e-posta gönderen veya mesaj atan dolandırıcılara karşı tetikte olun. Kişisel bilgilerinizi asla istenmeyen iletişimler yoluyla paylaşmayın.
  • Hesap Şifrelerinizi Değiştirin: Güvenlik önlemi olarak, özellikle diğer platformlarda da kullandığınız şifreler varsa, ilgili online hesaplarınızın şifrelerini değiştirin.

Şirketin Açıklaması

Gandara Akıl Sağlığı Merkezi, uzlaşma anlaşmasıyla ilgili yaptığı açıklamada, hasta mahremiyetine ve veri güvenliğine olan bağlılıklarını yineledi. Kurum, olayın ardından siber güvenlik altyapılarını güçlendirmek için önemli adımlar attığını belirtti. Bu adımlar arasında gelişmiş ağ izleme sistemlerinin kurulması, çok faktörlü kimlik doğrulamanın (MFA) yaygınlaştırılması, çalışanlara yönelik siber güvenlik eğitimlerinin artırılması ve veri güvenliği politikalarının gözden geçirilmesi yer alıyor.

Merkez, yasal bir zorunluluk olmamasına rağmen, uzun ve masraflı bir dava sürecinden kaçınmak ve etkilenen bireylere hızlı bir çözüm sunmak amacıyla bu uzlaşmaya vardıklarını ifade etti. Uzlaşma fonu, mağdurların veri ihlali nedeniyle maruz kaldıkları belgelenmiş mali kayıpları karşılamayı, kaybettikleri zaman için bir miktar ödeme yapmayı ve gelecekteki risklere karşı koruma sağlamak için kredi izleme hizmetleri sunmayı hedefliyor.

Kaynak

https://www.hipaajournal.com/gandara-mental-health-center-settles-class-action-data-breach-lawsuit/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Esse Health Veri İhlali İçin 2.53 Milyon Dolar Ödeyecek Sonraki Yazı → Mt Spokane Pediatrics Veri Sızıntısı 32000 Hastayı Etkiledi

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.