Onkoloji Enstitüsü Veri İhlali 865 Bin Hastayı Etkiledi – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Onkoloji Enstitüsü Veri Skandalının Ortasında

Kanser hastalarının tedavi gördüğü Onkoloji Umut ve İnovasyon Enstitüsü, bir iş ortağı kaynaklı siber saldırı sonucu 865,000 hastanın verilerinin çalındığını duyurdu. Çalınanlar arasında teşhis ve reçete bilgileri gibi son derece hassas tıbbi kayıtlar da var.

Bir hastane binasının dış cephesi, Onkoloji Enstitüsü'nün yaşadığı veri ihlali haberini temsil ediyor.

Ne Oldu

Takvimler 25 Mayıs 2026'yı gösteriyor ve siber güvenlik dünyası bir kez daha sağlık sektöründen gelen bir haberle sarsıldı. Ama bu seferki, her gün duyduğumuz sıradan bir sızıntı değil. Konu, kanser hastalarına hizmet veren, adında “Umut ve İnovasyon” kelimeleri geçen bir kurum: Onkoloji Umut ve İnovasyon Enstitüsü (OIHI). Kurum, tam 865,000 hastasının kişisel ve tıbbi bilgilerinin çalındığını bir basın açıklamasıyla kabul etmek zorunda kaldı. Olayın vahametini artıran detay ise saldırının doğrudan enstitüye değil, onların iş ortağı olan Digital Health Corp (DHC) isimli bir teknoloji firmasına yapılmış olması. Yani en güvendiğiniz yerlerden biri olan hastaneniz, verilerinizi koruması için güvendiği bir başka şirket yüzünden sizi yarı yolda bırakmış olabilir.

Bu durum, siber güvenlikte “tedarik zinciri saldırısı” olarak bilinen kabusun ete kemiğe bürünmüş hali. OIHI kendi dijital kapılarını ne kadar kilitlerse kilitlesin, verilerini emanet ettiği iş ortağının kapısı aralık kalınca olanlar oldu. Saldırganlar zayıf halkayı bulup içeri sızdı ve en mahrem bilgilere ulaştı. Şimdi binlerce hasta, zaten zorlu bir hastalıkla mücadele ederken bir de kimlik hırsızlığı ve dolandırıcılık endişesiyle baş başa kaldı. Bu sadece bir veri ihlali değil, aynı zamanda umutla tedavi arayan insanlara yönelik büyük bir güven ihlali.

Ele Geçirilen Veriler

Saldırganların neyi alıp götürdüğüne baktığımızda durumun ne kadar ciddi olduğu daha net anlaşılıyor. Bu, bir e-ticaret sitesinden çalınan şifre listesine hiç benzemiyor. Liste uzun ve her bir madde bir öncekinden daha korkutucu. İşte siber suçluların elinde olduğu doğrulanan bilgiler:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Tam Ad ve İletişim Bilgileri: Adresler, telefon numaraları, e-posta adresleri. Dolandırıcıların size ulaşması için ilk adım.
  • Doğum Tarihleri ve Sosyal Güvenlik Numaraları (SSN): Bu ikili, kimlik hırsızlığının anahtarıdır. Sizin adınıza kredi kartı başvurusu yapmak, banka hesabı açmak ya da devlet yardımlarını çalmak için yeterli.
  • Sağlık Sigortası Bilgileri: Poliçe numaraları ve sağlayıcı detayları. Bu bilgilerle sahte tıbbi talepler oluşturulabilir, sigorta şirketiniz dolandırılabilir ve bu durum sizin gelecekteki sigorta primlerinizi ve teminatlarınızı olumsuz etkileyebilir.
  • Tıbbi Bilgiler: Ve işte en can alıcı nokta burası. Sızan veriler arasında teşhisler, tedavi kayıtları, reçete bilgileri ve doktor notları gibi son derece kişisel sağlık bilgileri (PHI - Protected Health Information) bulunuyor.

Şimdi bir düşünün. Kötü niyetli birinin sizin kanser teşhisinizi, hangi ilaçları kullandığınızı, tedavinizin hangi aşamada olduğunu bildiğini hayal edin. Bu bilgiler sadece finansal dolandırıcılık için değil, aynı zamanda hedefli oltalama (spear phishing) saldırıları, şantaj ve hatta sosyal itibarınızı zedelemek için kullanılabilir. Örneğin, “Tedaviniz için gerekli olan ilacın ödemesinde sorun yaşandı, lütfen bilgilerinizi güncelleyin” gibi sahte bir e-posta veya telefon araması, bu bilgilere sahip olunduğunda çok daha inandırıcı hale gelir. Siber suç dünyasında bu tür kapsamlı sağlık verileri, kredi kartı numaralarından katbekat daha değerlidir çünkü değiştirilemez ve insanın en zayıf anını hedefler.

Saldırının Nasıl Gerçekleştiği

OIHI’nin açıklamasına göre, siber saldırganlar doğrudan onların sistemlerine girmedi. Hedef, enstitünün bazı teknoloji altyapı hizmetlerini ve hasta verisi yönetimini emanet ettiği Digital Health Corp (DHC) idi. DHC'nin ağına “yetkisiz erişim” sağlandığı belirtiliyor. Bu kurumsal dilin arkasında genellikle birkaç senaryodan biri yatar: ya bir çalışanın oltalama saldırısına kanarak kimlik bilgilerini kaptırması, ya güncellenmemiş bir yazılımdaki güvenlik açığının kullanılması ya da basitçe kötü yapılandırılmış bir bulut sunucusu. Sonuç değişmiyor: Saldırganlar içeri bir kez girince, DHC’nin müşterisi olan OIHI’nin hasta verilerine de erişmiş oldular.

Bu olay, modern iş dünyasının en büyük risklerinden birini gözler önüne seriyor. Şirketler artık tek başına birer kale değil. Yüzlerce, hatta binlerce tedarikçi, iş ortağı ve hizmet sağlayıcıdan oluşan dev bir ekosistemin parçası. Kendi siber güvenliğiniz ne kadar sağlam olursa olsun, zincirdeki en zayıf halka kadar güvendesiniz. Saldırganlar da bunu çok iyi biliyor. Neden zırhlı ana kapıyla uğraşsınlar ki, arka bahçeye açılan ve tedarikçinin açık unuttuğu küçük bir servis kapısı varken? OIHI şimdi, hasta verilerini emanet ettiği şirketi yeterince denetleyip denetlemediği sorusuyla yüzleşmek zorunda. “Bizim suçumuz değil, onların suçu” demek, hastaların gözünde onları aklamaya yetmeyecektir.

Etkilenenler Kim

Rakam büyük: 865,000 kişi. Bu, küçük bir şehrin nüfusu demek. Ama bu insanlar rastgele bir listeden seçilmedi. Onlar, Onkoloji Umut ve İnovasyon Enstitüsü'nde tedavi görmüş veya görmekte olan, yani hayatlarının en zorlu mücadelelerinden birini veren kanser hastaları ve aileleri. Bu insanlar zaten fiziksel ve duygusal olarak yıpranmış durumdalar. Şimdi bir de bu veri sızıntısının getirdiği ek stresle boğuşmak zorundalar. Acaba bilgilerim kimin elinde? Adıma kredi çekilir mi? Sigortamla ilgili bir sorun yaşar mıyım? Ya en mahrem sağlık bilgilerim internette yayılırsa? Bu sorular, zaten yeterince ağır bir yük taşıyan omuzlara binmiş yeni bir ağırlık.

Eğer siz veya bir yakınınız geçmişte bu enstitüde hizmet aldıysanız, bu haber sizi doğrudan ilgilendiriyor demektir. OIHI, etkilenen kişilere mektupla bildirim yapacağını söylüyor. Ancak posta sisteminin yavaşlığı veya adres değişiklikleri gibi nedenlerle bu mektubun size ulaşmasını beklemeyin. Durumu kendi kontrolünüze almanızda fayda var. Bu sızıntı, sadece bir rakamlar listesi değil; her bir rakamın arkasında bir insan, bir aile ve bir hayat hikayesi var.

Ne Yapabilirsin

Şirketin sunduğu standart “iki yıllık ücretsiz kredi izleme hizmeti” teklifini duyacaksınız. Bunu kesinlikle kabul edin, bu sizin hakkınız. Ama sakın bununla yetinmeyin. Bu, sadece yaranın üzerine küçük bir yara bandı yapıştırmak gibi. Gerçek koruma için daha fazlasını yapmanız gerekiyor. İşte bu duruma özel, işe yarar adımlar:

  • Kredi Raporlarınızı Dondurun: Kredi izleme hizmeti size birisi adınıza işlem yaptığında haber verir, yani olay olduktan sonra. Kredi dondurma ise en başından kimsenin sizin adınıza yeni bir kredi hesabı açmasını engeller. Bu, en proaktif ve en güçlü savunma yöntemidir. Üç büyük kredi bürosuyla (Equifax, Experian, TransUnion) iletişime geçerek bunu yapabilirsiniz.
  • Tıbbi Açıklamaları (EOB) Mercek Altına Alın: Sigorta şirketinizden gelen “Alınan Hizmetler Özeti” (Explanation of Benefits) belgelerini asla atmayın. Her bir satırı dikkatle inceleyin. Hiç almadığınız bir tedavi, gitmediğiniz bir doktor veya bilmediğiniz bir tıbbi malzeme için fatura kesilmiş mi? Bu, tıbbi kimlik hırsızlığının en net işaretidir.
  • Oltalama Saldırılarına Karşı Paranoyak Olun: Unutmayın, dolandırıcılar artık sadece adınızı değil, teşhisinizi ve hangi tedaviyi gördüğünüzü de biliyor. Size “Dr. Smith’in ofisinden arıyoruz, son kemoterapi seansınızın ödemesiyle ilgili bir sorun var” gibi son derece inandırıcı bir telefon gelebilir. Veya sigorta şirketinizden geliyormuş gibi görünen, poliçe bilgilerinizi güncellemenizi isteyen bir e-posta alabilirsiniz. Size ulaşan ve kişisel, finansal veya tıbbi bilgi isteyen HİÇBİR mesaja, telefona veya e-postaya güvenmeyin. Her zaman kurumu siz, bildiğiniz resmi numaradan arayarak teyit edin.
  • IRS ve Sosyal Güvenlik İdaresi Hesaplarınızı Kontrol Edin: Sosyal Güvenlik Numaranız (SSN) çalındığı için, dolandırıcılar adınıza vergi iadesi başvurusunda bulunabilir veya sosyal güvenlik yardımlarınızı kendi hesaplarına yönlendirebilir. Bu kurumların web sitelerinden online hesaplar oluşturarak durumu kontrol altında tutun.

Şirket Ne Diyor

Onkoloji Umut ve İnovasyon Enstitüsü, tahmin edileceği gibi standart bir kurumsal açıklama metni yayınladı. Açıklamada, olayı fark eder etmez “derhal bir soruşturma başlattıkları”, “önde gelen bir siber güvenlik firmasıyla anlaştıkları” ve “kolluk kuvvetlerine haber verdikleri” gibi alışıldık ifadeler yer alıyor. Ayrıca, verileri çalınan iş ortağı Digital Health Corp ile olan ilişkilerini ve güvenlik protokollerini yeniden gözden geçirdiklerini belirtiyorlar.

OIHI CEO'su yaptığı açıklamada, “Hastalarımızın güvenliği ve mahremiyeti bizim için her şeyden önce gelir. Bu olayın neden olduğu endişe ve sıkıntı için derinden üzgünüz” dedi. Ancak bu üzüntü, verileri çoktan siber suçluların eline geçmiş olan 865,000 hasta için pek bir anlam ifade etmiyor. Asıl soru, OIHI'nin bu kadar hassas verileri emanet ettiği DHC'yi seçerken ne gibi bir denetim yaptığı. Güvenlik standartlarını kontrol ettiler mi? Bağımsız denetim raporları istediler mi? Yoksa sadece en ucuz teklifi vereni mi seçtiler? Bu soruların cevapları, muhtemelen açılacak davalar ve yapılacak resmi soruşturmalar sırasında ortaya çıkacaktır. Şimdilik, her iki şirket de suçu birbirine atmadan durumu yönetmeye çalışıyor gibi görünüyor, ancak bu hassas denge uzun sürmeyebilir.

Kaynak

https://www.securityweek.com/oncology-institute-discloses-third-party-data-breach/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Richmond'da Sağlık Skandalı 266 Bin Kişinin Verileri Çalındı Sonraki Yazı → DocketWise Veri İhlali 143 Bin Kişiyi Vurdu

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.