Endue Software Veri Sızıntısı Sonrası 870.000$ Ödeyecek – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Endue Software Veri Sızıntısı İçin 870 Bin Dolar Ödeyecek

Sağlık teknolojisi firması Endue Software, binlerce hastanın hassas verilerini ifşa eden bir veri sızıntısının ardından açılan toplu davayı sonuçlandırmak için 870.000 dolarlık bir uzlaşmayı kabul etti. Uzlaşma, şirketin siber güvenlik önlemlerindeki ihmal iddialarını ele alıyor.

Endue Software, binlerce hastanın hassas tıbbi verilerini ifşa eden siber saldırı sonrası açılan davada 870.000 dolarlık uzlaşmayı kabul etti. Detaylar.

Olayın Özeti ve Arka Planı

Sağlık teknolojisi sektörünün önemli oyuncularından Endue Software, 2024 yılında yaşadığı yıkıcı bir siber saldırının yasal sonuçlarıyla yüzleşiyor. Şirket, on binlerce hastanın hassas kişisel ve tıbbi bilgilerini açığa çıkaran veri sızıntısı nedeniyle kendisine karşı açılan toplu davayı çözüme kavuşturmak amacıyla 870.000 dolarlık bir uzlaşma fonu oluşturmayı kabul etti. Bu karar, siber güvenlik ihmallerinin şirketlere getirdiği mali ve itibari yükümlülükleri bir kez daha gözler önüne serdi.

Olay, Endue Software'in sistemlerine sızan siber saldırganların, şirketin hizmet verdiği sağlık kuruluşlarının hasta veritabanlarına erişmesiyle başladı. Saldırı, ilk olarak şirketin güvenlik ekipleri tarafından fark edilse de, saldırganların verileri sızdırması engellenemedi. Sızıntının ardından etkilenen hastalar adına bir araya gelen bir grup davacı, şirketin hasta verilerini korumak için makul ve yeterli güvenlik önlemlerini almadığını iddia ederek yasal süreç başlattı. Davacılar, Endue Software'in bilinen güvenlik açıklarını zamanında yamamadığını ve endüstri standardı şifreleme protokollerini uygulamadığını öne sürdüler. Uzun süren müzakerelerin ardından şirket, herhangi bir suçlamayı kabul etmemekle birlikte, daha fazla yasal masraftan kaçınmak ve konuyu kapatmak adına uzlaşma yoluna gitmeyi tercih etti.

Sızdırılan Veriler ve Kapsamı

Bu veri sızıntısı, ifşa olan bilgilerin hassasiyeti nedeniyle özellikle endişe vericidir. Saldırganlar, hastaların en mahrem bilgilerini içeren geniş bir veri setine erişim sağladı. Bu durum, mağdurlar için kimlik hırsızlığı, dolandırıcılık ve hatta tıbbi dolandırıcılık gibi ciddi riskler doğurmaktadır. Sızdırılan veriler arasında şunlar bulunmaktadır:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Tam Ad ve Soyad: Kişilerin kimliğini doğrudan belirten temel bilgiler.
  • Doğum Tarihleri: Kimlik doğrulama süreçlerinde sıkça kullanılan kritik bir bilgi.
  • Sosyal Güvenlik Numaraları (SSN): Finansal hesap açma ve resmi işlemler için kullanılan en hassas verilerden biri.
  • Adres Bilgileri: Fiziksel güvenlik ve dolandırıcılık için kullanılabilecek veriler.
  • Tıbbi Teşhisler ve Tedavi Bilgileri: Hastaların sağlık durumlarını, geçirdikleri hastalıkları ve aldıkları tedavileri içeren son derece özel bilgiler. Bu tür veriler, sigorta dolandırıcılığı veya şantaj gibi amaçlarla kullanılabilir.
  • Sağlık Sigortası Bilgileri: Poliçe numaraları ve sigorta sağlayıcısı detayları.

Sızıntının on binlerce kişiyi etkilediği tahmin ediliyor. Bu kişilerin verilerinin şu anda siber suçlular tarafından dark web forumlarında satılıyor olabileceği veya gelecekteki hedefli oltalama (phishing) saldırıları için kullanılabileceği düşünülüyor. Bu tür olaylar hakkında güncel bilgi sahibi olmak için düzenli olarak Veri Sızıntısı Haberleri kaynaklarını takip etmek büyük önem taşımaktadır.

Saldırının Teknik Boyutu

Endue Software tarafından yapılan ilk açıklamalara ve siber güvenlik uzmanlarının analizlerine göre, saldırı büyük olasılıkla bir fidye yazılımı (ransomware) operasyonunun parçası olarak gerçekleşti. Fidye yazılımı, siber suçluların bir sisteme sızarak verileri şifrelediği ve bu şifreyi çözmek için kurbandan fidye talep ettiği bir siber saldırı türüdür. Ancak modern fidye yazılımı grupları, artık "çifte şantaj" olarak bilinen bir taktik uygulamaktadır.

Bu taktikte, saldırganlar verileri şifrelemeden önce büyük bir kopyasını kendi sunucularına çekerler. Eğer kurban fidyeyi ödemeyi reddederse, saldırganlar bu verileri kamuya sızdırmakla veya dark web'de satmakla tehdit ederler. Endue Software vakasında da bu senaryonun yaşandığı düşünülüyor. Şirketin fidyeyi ödeyip ödemediği bilinmemekle birlikte, verilerin sızdırılmış olması, ya fidyenin ödenmediğini ya da ödenmesine rağmen saldırganların verileri yine de sızdırdığını gösteriyor. Saldırganların sisteme ilk erişimi, muhtemelen kimlik avı saldırısı veya sunuculardaki güncellenmemiş bir yazılım açığı üzerinden sağladığı tahmin ediliyor.

Etkilenen Kullanıcılar Kimler ve Ne Yapmalılar?

Bu sızıntıdan doğrudan etkilenenler, Endue Software'in platformunu kullanan hastaneler, klinikler ve diğer sağlık kuruluşlarının hastalarıdır. Eğer son birkaç yıl içinde bu tür bir kurumda tedavi gördüyseniz ve kişisel bilgileriniz bu kurumla paylaşıldıysa, sızıntıdan etkilenmiş olma ihtimaliniz bulunmaktadır. Şirket, uzlaşma kapsamında etkilenen kişilere bildirimde bulunmayı taahhüt etmiştir.

Eğer bu sızıntıdan etkilendiğinizi düşünüyorsanız veya bir bildirim aldıysanız, aşağıdaki adımları atmanız şiddetle tavsiye edilir:

  • Kredi Raporlarınızı Kontrol Edin: Kredi raporlarınızı düzenli olarak kontrol ederek adınıza açılmış şüpheli hesap veya kredileri tespit edin.
  • Dolandırıcılık Uyarısı Koyun: Kredi bürolarıyla iletişime geçerek dosyanıza bir dolandırıcılık uyarısı ekletebilirsiniz. Bu, adınıza yeni bir kredi başvurusu yapıldığında ek doğrulama adımları gerektirir.
  • Hesaplarınızı Gözlemleyin: Banka ve kredi kartı ekstrelerinizi dikkatle inceleyin ve tanımadığınız işlemleri derhal bildirin.
  • Şüpheli E-postalara Dikkat Edin: Saldırganlar, ele geçirdikleri bilgileri kullanarak size özel oltalama (phishing) e-postaları gönderebilir. Kişisel bilgilerinizi isteyen veya şüpheli bağlantılar içeren e-postalara karşı dikkatli olun.
  • Veri Sızıntısı Sorgulama Araçlarını Kullanın: E-posta adresinizin veya diğer kişisel bilgilerinizin bu veya başka sızıntılarda yer alıp almadığını öğrenmek için güvenilir bir Veri Sızıntısı Sorgulama hizmetinden yararlanabilirsiniz.

Şirketin Açıklaması ve Uzlaşma Detayları

Endue Software, yaptığı resmi açıklamada, olayın neden olduğu rahatsızlıktan dolayı derin üzüntü duyduklarını belirtti. Şirket, siber saldırının ardından güvenlik altyapılarını güçlendirmek için önemli yatırımlar yaptıklarını ve gelecekte benzer olayların yaşanmasını önlemek amacıyla üçüncü taraf siber güvenlik firmalarıyla çalıştıklarını vurguladı. Açıklamada, "Müşterilerimizin ve onların hastalarının verilerinin güvenliği bizim için en önemli önceliktir. Bu uzlaşma, bir suçluluk kabulü anlamına gelmemekle birlikte, uzun ve masraflı bir yasal süreçten kaçınarak kaynaklarımızı sistemlerimizi daha da güçlendirmeye odaklamamızı sağlayacaktır." ifadelerine yer verildi.

870.000 dolarlık uzlaşma fonu, davaya dahil olan ve sızıntıdan zarar gördüğünü kanıtlayabilen kişilerin masraflarını karşılamak için kullanılacak. Bu masraflar arasında kimlik hırsızlığı koruma hizmetleri, kanıtlanmış dolandırıcılık kayıpları ve sızıntı nedeniyle harcanan zaman için küçük bir tazminat yer alıyor. Uzlaşmanın nihai onayı için mahkeme süreci devam etmektedir.

Kaynak

https://www.hipaajournal.com/endue-software-data-breach-settlement/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Dark Reading Veri Sızıntısı Etkinliği Hazırlık Rehberi Sonraki Yazı → Grafana GitHub İhlali Kaynak Kodunu Ortaya Çıkardı

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.