Telehealth Devinde Veri Güvenliği İhlali
Kilo verme ilaçları ve cinsel sağlık reçeteleri konusunda uzmanlaşan tele-sağlık platformu Hims & Hers, yakın zamanda gerçekleşen bir veri ihlali ile gündeme geldi. Şirket, üçüncü taraf bir müşteri hizmetleri platformunun siber saldırganlar tarafından hedef alındığını resmen doğruladı.
Kaliforniya başsavcılığına sunulan resmi bildirimlere göre, saldırganların sisteme sızdığı tarih aralığı 4 Şubat ile 7 Şubat olarak belirlendi. Bu süre zarfında, kullanıcıların destek ekiplerine gönderdiği çok sayıda talep ve kişisel bilgi yetkisiz kişilerin eline geçti.
Sosyal Mühendislik Yöntemiyle Sisteme Erişim
Hims & Hers sözcüsü Jake Martin, yaşanan olayın temelinde bir sosyal mühendislik saldırısının yattığını açıkladı. Siber suçluların, şirket çalışanlarını manipüle ederek sistemlere erişim izni almayı başardığı ifade ediliyor.
Saldırı sonucunda ele geçirilen verilerin ağırlıklı olarak müşteri isimleri ve e-posta adreslerinden oluştuğu belirtildi. Şirket yetkilileri, tıbbi kayıtların bu ihlalden etkilenmediğini vurgulasa da, destek biletleri içerisinde kullanıcıların kişisel sağlık geçmişlerine dair hassas detayların yer alabileceği gerçeği endişe yaratıyor.
Destek Sistemleri Neden Hedef Haline Geldi
Müşteri destek ve biletleme sistemleri, son dönemde siber saldırganların bir numaralı hedefi haline gelmiş durumda. Özellikle finansal kazanç odaklı hacker grupları, bu veritabanlarını ele geçirerek şirketleri fidye ödemeye zorlama yöntemini sıkça kullanıyor.
Daha önce Discord platformunda yaşanan benzer bir olayda, yaklaşık 70 bin kişinin ehliyet ve pasaport gibi devlet tarafından verilen kimlik bilgileri sızdırılmıştı. Uzmanlar, şirketlerin üçüncü taraf hizmet sağlayıcılarını kullanırken güvenlik protokollerini daha sıkı denetlemesi gerektiği konusunda hemfikir.
Tele-Sağlık Sektöründe Veri Mahremiyeti Nasıl Korunacak
Yaşanan bu olay, dijital sağlık platformlarının sahip olduğu kullanıcı verilerinin korunması noktasında ciddi soru işaretlerini beraberinde getiriyor. Tıbbi verilerin doğrudan etkilenmediği savunulsa da, destek taleplerinde paylaşılan detaylar, kullanıcıların özel sağlık durumlarını ifşa edebilecek nitelikte. Şirketin, gelecekteki olası saldırılara karşı çalışanlarını sosyal mühendislik yöntemlerine karşı daha donanımlı hale getirip getirmeyeceği ve güvenlik altyapısını üçüncü taraf risklerine karşı nasıl güçlendireceği, platforma olan kullanıcı güveninin korunması açısından kritik bir eşik olarak görülüyor.