UnitedHealth ile Bağlantılı Sağlık Teknolojisi Şirketi Episource'un Güvenlik İhlali 5,4 Milyon Hastayı Etkiledi

Tıbbi faturalandırma konusunda uzmanlaşmış bir şirket olan Episource, ABD genelinde 5,4 milyondan fazla kişiye, bu yılın başlarında gerçekleşen bir siber saldırıda kişisel ve sağlık bilgilerinin çalındığını bildiriyor.

ABD Sağlık ve İnsan Hizmetleri Bakanlığı'nın verilerine göre, önemli sayıda Amerikalıyı etkileyen bu olay, 2025 yılında bildirilen en büyük sağlık verisi ihlali olarak öne çıkıyor.

UnitedHealth Group'un bir iştiraki olan Optum'un bir parçası olan Episource, sağlık sisteminde önemli bir rol oynamaktadır. Bir tıbbi faturalama şirketi olarak, sağlık sigortası aracılığıyla talepleri işlemek için doktorlar, hastaneler ve diğer sağlık hizmeti sağlayıcılarıyla birlikte çalışmaktadır. Bu, büyük miktarda hassas hasta verisini işledikleri anlamına gelir.

Episource, Kaliforniya veVermont'taki yetkililere sunduğu bildirimlerde, bir siber suçlunun sistemlerine yetkisiz erişim sağladığını belirtti. Şirket, 6 Şubat 2025'te bilgisayar sistemlerinde olağandışı bir etkinlik tespit etti.

Yapılan incelemelerde saldırganın 27 Ocak 2025 ile 6 Şubat 2025 tarihleri arasında Episource sistemlerinden çeşitli hasta ve üye verilerini görüntüleyebildiği ve kopyalayabildiği ortaya çıktı.

Episource, saldırının kesin niteliğini kamuoyuna açıklamasa da, ihlalden etkilenen müşterilerinden biri olan Sharp Healthcare, müşterilerini olayın fidye yazılımından kaynaklandığı konusunda bilgilendirdi.

Şirket, ihlal bildiriminde , "24 Nisan 2025'te Sharp HealthCare ve Sharp Community Medical Group'un iş ortağı olan Episource, Sharp'ın fidye yazılımı veri ihlalinden etkilenen müşterilerinden biri olduğunu doğruladı" ifadesini kullandı.

Çalınan bilgiler kapsamlıdır ve hassas kişisel ve sağlık bilgilerini içerir. Bunlara isimler, posta ve e-posta adresleri ve telefon numaraları gibi temel iletişim bilgileri de dahildir.

Daha da önemlisi, ihlal, tıbbi kayıt numaraları, doktorlar, teşhisler, ilaçlar, test sonuçları, görüntüleme ve bakım ve tedaviyle ilgili ayrıntılar gibi korunan sağlık verilerini ifşa etti. Ayrıca, sağlık planları, poliçe detayları ve üye numaraları gibi sağlık sigortası bilgileri de ele geçirildi.

Episource, etkilenen müşterilerine söz konusu veriler hakkında 23 Nisan 2025'te bildirimde bulunmaya başladı. Şirket o tarihten bu yana bilgisayar sistemlerini güçlendirmek için adımlar attı ve olayı araştırmak üzere kolluk kuvvetleriyle iletişime geçti.

Etkilenenlere yardımcı olmak için Episource, IDX aracılığıyla iki yıl boyunca ücretsiz kredi izleme ve kimlik hırsızlığı koruma hizmetleri sunuyor. Bireylerin bu hizmetlere kaydolmaları için 11 Ekim 2025 tarihine kadar süreleri var.

Şirket, sağlık hizmeti sağlayıcıları, sigorta şirketleri ve finans kuruluşlarından gelen bildirimleri herhangi bir şüpheli faaliyet açısından dikkatlice kontrol etmelerini ve herhangi bir endişeyi derhal ilgili makamlara bildirmelerini tavsiye ediyor.

Pathlock CEO'su Bay Piyush Pandey , " Bu ihlal, tehdit aktörlerinin odaklarını hastanelerden ve kliniklerden üçüncü taraf sağlayıcılara kaydırdığının bir işareti, çünkü bu yaklaşım onların aynı anda büyük miktarda PHI'ye erişmelerine olanak tanıyor " dedi.

" Saldırganlar bu verilere bir kez eriştiklerinde, bunları yıllarca son derece kişiselleştirilmiş dolandırıcılık ve şantaj kampanyaları için kötüye kullanabilirler. Bu ölçekte bir ihlal, sağlık tedarik zincirindeki her kuruluş için uyumluluk risklerine ve daha sıkı düzenleyici denetimlere yol açar ," diye vurguladı.

Bu, UnitedHealth Group ile bağlantılı ikinci büyük veri ihlali. HackRead daha önce, Şubat 2024'te UnitedHealth'in Change Healthcare birimine yapılan bir fidye yazılımı saldırısının yaklaşık 190 milyon Amerikalının verilerini ifşa ettiğini ve bunun şimdiye kadarki en büyük sağlık sızıntılarından biri olduğunu bildirmişti .

Şimdi, UnitedHealth bağlantılı firma Episource, 5,4 milyon hastanın etkilendiği bir başka ihlalle daha karşı karşıya kaldı ve bu durum UnitedHealth'e bağlı kuruluşlar genelinde siber güvenlik açığının sorunlu bir modelini ortaya koydu.