Datavant Veri İhlali Davasında 900 Bin Dolarlık Uzlaşma – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Datavant Veri İhlali İçin 900 Bin Dolar Ödeyecek

Sağlık veri devi Datavant Group, binlerce hastanın korunan sağlık bilgilerini (PHI) ifşa eden bir veri ihlali iddiasıyla ilgili toplu dava davasını sonuçlandırmak için 900.000 dolarlık bir anlaşmayı kabul etti. Anlaşma, şirketin herhangi bir suçlamayı kabul etmediği bir uzlaşma.

Datavant Group logosu, şirketin veri ihlali davası için 900.000 dolarlık uzlaşma ödemesini gösteriyor.

Ne Oldu

Sağlık teknolojisi ve veri analitiği alanında faaliyet gösteren Datavant Group, başını ağrıtan bir toplu dava sürecini sonlandırmak için cüzdanını açtı. Şirket, binlerce hastanın hassas sağlık verilerinin sızdırılmasına yol açan bir veri ihlali iddiası üzerine açılan davada, davacılarla 900.000 dolarlık bir uzlaşma fonu üzerinde anlaştı. Bu anlaşma, uzun ve maliyetli olabilecek bir hukuk mücadelesinden kaçınma hamlesi olarak görülüyor. Anlaşmanın nihai onayı için mahkeme süreci devam edecek olsa da, tarafların prensipte el sıkışması, olayın mağdurlar için bir kapanışa doğru ilerlediğini gösteriyor.

Peki, bu noktaya nasıl gelindi? Her şey, Datavant'ın sistemlerinde tespit edilen bir güvenlik açığıyla başladı. Davacılar, şirketin, siber saldırganların ağlarına sızmasını ve son derece kişisel olan korunan sağlık bilgilerini (PHI) ele geçirmesini önlemek için makul siber güvenlik önlemleri almadığını iddia etti. Bu tür davalarda genellikle ihmal, sözleşmenin ihlali ve haksız zenginleşme gibi suçlamalar öne sürülür. Davacılara göre Datavant, verilerini korumakla yükümlü olduğu kişilere karşı görevini yerine getirememişti. Şirket ise bu iddiaları reddediyor. Yaptıkları açıklamada, güvenlik sistemlerinin yeterli olduğuna inandıklarını ancak davanın getireceği zaman ve masraf yükünden kaçınmak için bu uzlaşmayı seçtiklerini belirtiyorlar. Bu, bu tür davalarda sıkça rastlanan standart bir hukuki duruştur; şirketler suçluluğu kabul etmeden meseleyi kapatmayı tercih ederler. Bu 900.000 dolarlık fon, hem ihlalden doğrudan etkilenen kişilerin cepten yaptıkları harcamaları karşılamak hem de veri sızıntısı nedeniyle harcadıkları zamanı telafi etmek için kullanılacak. Yani, eğer bu olay yüzünden kredi izleme hizmeti satın aldıysanız veya bankanızla saatlerce telefon görüşmesi yapmak zorunda kaldıysanız, bu fondan bir pay alabilirsiniz.

Ele Geçirilen Veriler

Siber saldırganların hedefinde ne vardı? Kısacası, en mahrem bilgilerimiz. Dava dosyalarına göre, çalınan veriler arasında HIPAA (Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası) kapsamında korunan çok çeşitli kişisel ve tıbbi bilgiler bulunuyor. Bu, basit bir e-posta sızıntısından çok daha fazlası. Listenin ne kadar hassas olduğunu anlamak için bir bakalım:

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Tam Adlar ve Adresler: Kimliğinizin temel taşları.
  • Doğum Tarihleri: Kimlik hırsızlığında sıkça kullanılan bir diğer anahtar bilgi.
  • Sosyal Güvenlik Numaraları (SSN): Belki de en kritik veri. SSN'niz ele geçirildiğinde, adınıza kredi kartları açılabilir, sahte vergi beyannameleri doldurulabilir.
  • Tıbbi Kayıt Numaraları: Sağlık sistemindeki benzersiz kimliğiniz.
  • Sağlık Sigortası Bilgileri: Poliçe numaraları ve grup bilgileri dahil. Bu bilgilerle dolandırıcılar, sizin sigortanız üzerinden sahte tıbbi hizmet taleplerinde bulunabilirler.
  • Teşhis ve Tedavi Bilgileri: Belki de en özel kısım burası. Geçirdiğiniz hastalıklar, aldığınız tedaviler, kullandığınız ilaçlar gibi son derece kişisel veriler. Bu tür bilgilerin ifşası sadece finansal değil, aynı zamanda kişisel ve profesyonel hayatınız için de yıkıcı sonuçlar doğurabilir.

Bu verilerin bir araya gelmesi, siber suçlular için bir hazine niteliğinde. Buna "tıbbi kimlik hırsızlığı" deniyor. Birisi sizin bilgilerinizle sizin adınıza tıbbi hizmet alabilir, ilaç yazdırabilir ve tüm bunlar sizin kayıtlarınıza işlenir. Bu durum, gelecekteki tıbbi bakımınızı tehlikeye atabilir; örneğin, kan grubunuzun veya alerjilerinizin yanlış kaydedilmesine neden olabilir. Bu yüzden bu sızıntı, basit bir şifre değiştirmeyle çözülemeyecek kadar derin ve kalıcı riskler barındırıyor.

Saldırının Nasıl Gerçekleştiği

Datavant, saldırının teknik detayları konusunda oldukça ağzı sıkı davranıyor. Mahkeme belgelerinde ve kamuoyuna yapılan açıklamalarda, siber saldırganların ağlarına tam olarak nasıl sızdığına dair net bir bilgi verilmiyor. Bu genellikle, devam eden güvenlik iyileştirmelerini veya şirketin itibarını koruma stratejisinin bir parçasıdır. Ancak, siber güvenlik dünyasındaki deneyimlerimize ve benzer vakalara bakarak bazı olası senaryoları değerlendirebiliriz.

En yaygın senaryolardan biri kimlik avı (phishing) saldırısıdır. Bir çalışanın, meşru görünen sahte bir e-postadaki linke tıklaması veya bir eki açması, saldırganlara ağa ilk erişim noktasını sağlayabilir. Bu ilk adımdan sonra, saldırganlar ağ içinde yatay olarak hareket ederek daha fazla yetki ve veri erişimi elde etmeye çalışır. Sağlık sektöründeki şirketler, yoğun iş akışları nedeniyle bu tür sosyal mühendislik saldırılarına karşı özellikle savunmasız olabiliyor.

Bir diğer güçlü olasılık, yamalanmamış bir güvenlik açığıdır. Şirketlerin kullandığı yazılımlarda veya sunucularda keşfedilen güvenlik zafiyetleri, saldırganlar için açık bir kapı bırakır. Eğer Datavant, kullandığı bir üçüncü parti yazılımda veya kendi sistemlerinde bilinen bir açığı zamanında kapatmadıysa, saldırganlar bunu istismar etmiş olabilir. MOVEit gibi dosya transfer yazılımlarındaki zafiyetlerin son yıllarda ne kadar büyük sızıntılara yol açtığını unutmamak gerek. Datavant gibi büyük veri işleyen şirketler, bu tür transfer araçlarını yoğun olarak kullanır.

Son olarak, hatalı yapılandırılmış bulut sunucuları da sık karşılaşılan bir problem. Verilerin şifrelenmeden veya parola koruması olmadan halka açık bir bulut depolama alanında bırakılması, basit bir internet taramasıyla bile bu verilere erişilebilmesine neden olabilir. Bu, doğrudan bir "hack" olmasa da, ihmal sonucu verilerin ifşa edilmesidir ve hukuki sonuçları aynı derecede ciddidir. Datavant'ın olayın tam olarak nasıl gerçekleştiğini açıklamaktan kaçınması, bu senaryolardan herhangi birinin veya bir kombinasyonunun geçerli olabileceğini düşündürüyor.

Etkilenenler Kim

Bu veri ihlalinin kurbanları, doğrudan Datavant'ın müşterisi olan kişiler değil. İşte bu nokta çok önemli. Datavant, hastanelere, kliniklere, sigorta şirketlerine ve diğer sağlık kuruluşlarına veri yönetimi ve analitik hizmetleri sunan bir B2B (şirketten şirkete) firmasıdır. Yani, siz muhtemelen Datavant adını daha önce hiç duymadınız ama doktorunuzun ofisi veya sigorta şirketiniz, verilerinizi işlemek için onların hizmetlerini kullanıyordu.

Dolayısıyla, etkilenenler, Datavant'ın hizmet verdiği bu sağlık kuruluşlarının hastalarıdır. Bu durum, siber güvenlikte "tedarik zinciri riski" olarak bilinen kavramın mükemmel bir örneğidir. Siz verilerinizi güvendiğiniz hastanenize emanet edersiniz, ancak o hastane bu verileri işlemek için başka bir şirketle çalışır. Eğer o üçüncü parti şirket bir ihlal yaşarsa, sizin verileriniz de tehlikeye girer. Bu yüzden, bu davanın sınıfını oluşturan kişiler, belirli bir zaman diliminde Datavant'ın müşterisi olan sağlık hizmeti sağlayıcılarından hizmet almış olan hastalardır. Eğer size bu davayla ilgili bir bildirim postası veya e-postası geldiyse, muhtemelen siz de bu gruba dahilsiniz. Anlaşma belgelerinde, davadan yararlanabilecek kişilerin tanımı net bir şekilde belirtilir ve genellikle ihlalin gerçekleştiği tarihlerde verileri Datavant sistemlerinde bulunan kişileri kapsar.

Ne Yapabilirsin

Eğer bu veri ihlalinden etkilendiğinizi düşünüyorsanız veya bir bildirim aldıysanız, oturup beklemek yerine atabileceğiniz somut adımlar var. İşte klişe "şifrenizi değiştirin" tavsiyesinin ötesinde, bu duruma özel olarak yapmanız gerekenler:

  1. Anlaşma Web Sitesini Kontrol Edin: Toplu dava anlaşmalarının genellikle kendi resmi web siteleri olur. Bu site üzerinden, davanın sınıfına dahil olup olmadığınızı kontrol edebilir ve hak talebinde bulunmak için gerekli formlara ulaşabilirsiniz. "Datavant class action settlement" gibi bir arama yaparak bu siteyi bulabilirsiniz.
  2. Hak Talebinde Bulunun (Claim Formu Doldurun): Anlaşma fonundan pay alabilmek için son tarihten önce bir talep formu doldurmanız gerekiyor. Bu formda, ihlal nedeniyle yaptığınız harcamaları belgelemeniz istenebilir. Örneğin, kredi raporlarınızı dondurmak için ödediğiniz ücretler, kimlik hırsızlığı mağduriyetini çözmek için avukat veya danışmanlara ödenen paralar veya bu işlerle uğraşırken kaybettiğiniz zaman için (genellikle belirli bir saatlik ücret üzerinden) talepte bulunabilirsiniz. Belgelerinizi (faturalar, makbuzlar) saklayın.
  3. Tıbbi Raporlarınızı ve Sigorta Açıklamalarınızı Gözden Geçirin: Bu en kritik adım. Sigorta şirketinizden gelen "Fayda Açıklaması" (Explanation of Benefits - EOB) belgelerini dikkatle inceleyin. Sizin almadığınız tedaviler, ziyaret etmediğiniz doktorlar veya size yazılmamış ilaçlar var mı? Kendi tıbbi kayıtlarınızda şüpheli bir giriş görürseniz derhal sağlık hizmeti sağlayıcınızla ve sigorta şirketinizle iletişime geçin. Tıbbi kimlik hırsızlığı, düzeltilmesi zor bir sorundur.
  4. Kredi Raporlarınıza Güvenlik Kilidi Koyun (Credit Freeze): Bu, dolandırıcılık uyarısından (fraud alert) daha güçlü bir önlemdir. Üç büyük kredi bürosuyla (Equifax, Experian, TransUnion) iletişime geçerek raporlarınıza bir kilit koyabilirsiniz. Bu, sizin izniniz olmadan adınıza yeni bir kredi hesabı açılmasını neredeyse imkansız hale getirir. Bu işlem genellikle ücretsizdir ve ihtiyacınız olduğunda geçici olarak kaldırabilirsiniz.

Şirket Ne Diyor

Datavant Group, dava süreci boyunca ve uzlaşma duyurusunda tutarlı bir duruş sergiledi. Şirket, herhangi bir yasa dışı davranışta veya ihmalde bulundukları yönündeki iddiaları şiddetle reddediyor. Bu, toplu dava uzlaşmalarında standart bir prosedürdür ve "suçluluğun kabul edilmemesi" maddesi olarak bilinir. Şirketler, bu madde sayesinde davayı sonlandırırken gelecekteki olası başka davalarda bu uzlaşmanın aleyhlerine bir delil olarak kullanılmasını engeller.

Şirket sözcüsü tarafından yapılan açıklamada, "Veri güvenliği ve müşterilerimizin gizliliği bizim için en üst düzeyde önceliktir. Sistemlerimizin her zaman endüstri standartlarına uygun ve sağlam olduğuna inanıyoruz. Ancak, bu davanın devam etmesinin getireceği dikkat dağıtıcı unsurları ve masrafları göz önünde bulundurarak, davacı tarafla bir uzlaşmaya varmanın tüm taraflar için en yapıcı yol olduğuna karar verdik. Bu uzlaşma, herhangi bir kusurun kabulü anlamına gelmemektedir," ifadelerine yer verildi. Ayrıca, olaydan bu yana siber güvenlik altyapılarını daha da güçlendirmek için ek yatırımlar yaptıklarını ve denetim süreçlerini sıkılaştırdıklarını da eklediler. Bu tür açıklamalar, hem yasal pozisyonlarını korumak hem de mevcut ve potansiyel müşterilere güvenlik konusunu ciddiye aldıkları mesajını vermek için dikkatle kaleme alınır.

Kaynak

https://www.hipaajournal.com/datavant-group-class-action-data-breach-settlement/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Özel İstihbarat Firması 48 Milyon Veri Sızdırdı Sonraki Yazı → Bir Milyon Kişinin Verileri Nasil Aciga Cikti

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.