30.04.2024
UnitedHealth Group, Pazartesi günü iştiraki Change Healthcare'e Şubat ayındaki siber saldırının ardından hasta verilerini korumak için siber tehdit aktörlerine fidye ödediğini duyurdu. Şirket ayrıca saldırı sırasında kişisel bilgi dosyalarının ihlal edildiğini doğruladı.
Şirketin yaptığı açıklamada, "Bu saldırı kötü niyetli tehdit aktörleri tarafından gerçekleştirildi ve soruşturmamızın bir parçası olarak kolluk kuvvetleriyle ve birkaç önde gelen güvenlik şirketiyle iş birliğine devam ediyoruz" denildi. "Bir fidye, şirketin hasta verilerini maruz kalmaktan koruma konusundaki kararlılığının bir ölçüsü olarak ödendi."
Şirket fidye ödemesinin miktarını açıklamadı.
UnitedHealth, 152 milyondan fazla müşterisi ile, pazartesi günü yayımlanan bir açıklamaya göre, siber tehdit aktörlerinin korunan sağlık bilgileri ve kişisel tanımlayıcı bilgiler içeren dosyalara eriştiğini belirledi. Açıklamada, dosyaların "potansiyel olarak Amerikan nüfusunun önemli bir kısmını kapsadığı" belirtildi.
Change Healthcare ödeme ve gelir döngüsü yönetimi çözümleri sunmaktadır. Şirket yılda 15 milyardan fazla işlemi yönetmekte olup, her üç hastanın birinin kayıtları sistemlerinden geçmektedir. Bu, UnitedHealth ile ilişkilendirilmemiş hastaların bile saldırıdan etkilenebileceği anlamına gelmekte.
UnitedHealth, yayımlanan açıklamada, ihlal edilen dosyalara ait olduğu iddia edilen 22 ekran görüntüsünün karanlık web'e yüklendiğini belirtti. Şirket, başka hiçbir verinin kamuya açılmadığını ve ihlal sırasında doktorların notları veya tam tıbbi geçmişlerinin erişildiğine dair herhangi bir kanıt görülmediğini belirtti.
UnitedHealth CEO'su Andrew Witty, "Bu saldırının tüketiciler ve sağlık hizmeti sağlayıcıları için endişe ve aksiliğe neden olduğunu anlıyoruz ve etkilenenlere mümkün olan tüm yardım ve desteği sağlama taahhüdümüzü sürdürüyoruz" dedi.
Endişeli hastaların, kaynaklara erişim için özel bir web sitesini ziyaret edebileceklerini belirten UnitedHealth, yayımlanan açıklamada, iki yıl boyunca ücretsiz kimlik hırsızlığı koruması ve kredi izleme sağlayacak bir çağrı merkezi kurduğunu belirtti.
UnitedHealth, "Veri incelemesinin sürekli doğası ve karmaşıklığı nedeniyle," çağrı merkezinin bireysel veri etkileri hakkında belirli ayrıntılar sağlayamayacağını belirtti.