Fransa’nın resmi veri gizliliği izleme kuruluşu CNIL, iki farklı sağlık hizmeti ödeme hizmet sağlayıcısındaki büyük bir güvenlik ihlali neticesinde 33 milyon kişiye ait kişisel verilerin ifşa edildiğini açıkladı. Viamedis ve Almerys ödeme şirketlerinin Ocak ayı sonlarında sistemlerinde ihlal yaşandığını açıklayan CNIL, bunun 33 milyondan fazla müşteriye ait verilerin çalınmasına yol açtığını duyurdu.
Söz konusu sağlık hizmetleri ödeme hizmetleri müşterileri ve ailelerine ilişkin ifşa edilen veriler arasında doğum tarihleri, medeni durum, sosyal güvenlik numaraları ve sigorta bilgileri yer alıyor. CNIL, hiçbir bankacılık bilgisi, tıbbi veri veya iletişim bilgisinin tehlikeye atılmadığını belirtiyor. CNIL’in eski genel sekreteri ve dijital veri koruma avukatı Yann Padova, Fransız radyo ağı Franceinfo’ya yaptığı açıklamada, “[Fransa’da] ilk kez bu büyüklükte bir ihlal yaşanıyor” dedi. Padova bu ihlalin Fransa tarihindeki en büyük ihlal olduğuna inanıyor.
Viamedis’te yaşanan ihlalde, verilerin sağlık uzmanlarını hedef alan bir kimlik avı saldırısı yoluyla ele geçirildiği ve sistemlerine erişim sağlamak için bu uzmanlardan çalınan kimlik bilgilerini kullandığı bildirildi. Almerys firması ise veri ihalilinin nasıl gerçekleştiğini açıklamadı, uzmanlar saldırının benzer bir biçimde yapıldığı görüşündeler. CNIL, AB’nin Genel Veri Koruma Yönetmeliği uyarınca gerekli olduğu üzere, etkilenenlerin bilgilendirilmesini sağlamak için Viamedis ve Almerys ile birlikte çalıştığını, ancak ülkenin neredeyse yarısına haber vermenin muhtemelen biraz zaman alacağını duyurdu.
Bu arada Fransız yetkililer, çalınan ve ifşa edilen verilerin kimlik avı saldırılarında veya sosyal mühendislik planlarında kullanılmak üzere diğer ihlallerden elde edilen verilerle birleştirilebileceği konusunda uyarıda bulunuyor. CNIL, herhangi bir kuruluşun ihlalde kusurlu olup olmadığını belirlemek için ayrıca bir soruşturma açıldığını söyledi.
Son dönemde özellikle Sıfırıncı gün açıklarının artması ve saldırı vektörlerinin çeşitlenmesi, veri ihlali rakamlarının da hızla artmasına neden oluyor. Kasım ayında bu konuda bir rapor açıklayan Identity Theft Resource Center (ITRC), ABD’de veri ihlal sayılarının rekor kırdığını duyurmuştu. Güvenlik uzmanları, özellikle fidye yazılım saldırılarındaki artışın da devam ettiğine dikkat çekerken kurumları sistem güncellemeleri konusunda daha çevik olmaya davet ediyorlar.
