HCRG Fidye Saldırısını Bir Yıl Gecikmeyle Duyurdu – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

HCRG Fidye Saldırısını Bir Yıl Sonra Duyurdu

İngiltere merkezli sağlık hizmetleri firması HCRG, Mayıs 2025'te fark ettiği fidye yazılımı saldırısını ve veri sızıntısını, bir yıldan fazla bir süre sonra, Haziran 2026'da hastalarına bildirmeye başladı. Sızan veriler arasında son derece hassas tıbbi bilgiler de bulunuyor.

Kırık bir asma kilit ve arka planda bulanık sunucu odası görüntüsü

Ne Oldu

İngiltere'nin önde gelen sağlık personeli temini şirketlerinden Healthcare Resourcing Group (HCRG), tam bir yıllık sessizliğin ardından, fidye yazılımı saldırısına uğradığını ve hasta verilerinin sızdırıldığını duyurdu. Şirket, saldırıyı Mayıs 2025'te tespit etmesine rağmen, etkilenen kişilere yönelik bilgilendirme mektuplarını ancak Haziran 2026'da göndermeye başladı. Bu durum, siber güvenlik dünyasında "gecikmiş bildirim" tartışmalarını yeniden alevlendirdi. Bir yıldan uzun bir süre, çalınan verilerin kötüye kullanılması için fazlasıyla uzun bir zaman.

Saldırıdan doğrudan etkilenen kurum, HCRG'nin bir iştiraki olan ve polis teşkilatlarına adli tıp hizmetleri sunan CRG Medical Services. Bu detay, olayın ciddiyetini bir kat daha artırıyor. Çünkü sızıntıdan etkilenenler, herhangi bir hastanenin sıradan hastaları değil; polis nezaretindeyken tıbbi yardım almış, yani zaten oldukça hassas ve zor bir süreçten geçen bireyler. Şirketin bu denli uzun bir süre beklemesinin nedeni olarak gösterdiği "karmaşık ve zaman alıcı inceleme süreci" ise veri koruma otoriteleri ve mağdurlar tarafından sorgulanmaya açık bir gerekçe olarak görülüyor.

Bu olay, özellikle sağlık sektöründeki veri güvenliği zaafiyetlerini ve saldırı sonrası kriz yönetimindeki eksiklikleri gözler önüne seriyor. Bir fidye yazılımı saldırısı zaten yeterince kötüyken, mağdurların bir yıl boyunca verilerinin kimin elinde olduğundan ve nasıl kullanıldığından habersiz bırakılması, hem güveni zedeliyor hem de potansiyel zararların artmasına neden oluyor. Bu tür gecikmeler, genellikle şirketlerin yasal sonuçlardan veya itibar kaybından çekinmesinden kaynaklansa da, sonuçları mağdurlar için çok daha ağır olabilir. Özellikle bu vakada, sızan verilerin niteliği, gecikmenin yarattığı riski katbekat artırıyor.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ele Gecirilen Veriler

Saldırganların HCRG sistemlerinden ne çaldığına baktığımızda, tablonun ne kadar vahim olduğunu daha net anlıyoruz. Şirketin gönderdiği bilgilendirme mektubuna göre ele geçirilen veriler oldukça kapsamlı ve kişisel mahremiyetin tam kalbine isabet ediyor. Listede şunlar var:

  • Kimlik Bilgileri: Ad, soyadı, adres ve doğum tarihi gibi temel kişisel veriler.
  • Ulusal Numaralar: İngiltere'de kullanılan Ulusal Sigorta (National Insurance) numarası ve Ulusal Sağlık Servisi (NHS) numarası. Bu numaralar, bir kişinin devletle olan tüm ilişkisinde kilit rol oynar ve kimlik hırsızlığı için altın değerindedir.
  • Hassas Tıbbi Bilgiler: Belki de en endişe verici olanı, "alınan bakım ve tedaviyle ilgili bilgiler" başlığı altında toplanan veriler. CRG Medical Services'in polis nezaretindeki kişilere hizmet verdiği düşünüldüğünde, bu bilgilerin içeriği son derece hassas olabilir. Bu veriler; bir saldırı kurbanının muayene raporlarını, bir şüphelinin kanındaki alkol veya uyuşturucu test sonuçlarını, akıl sağlığı değerlendirmelerini veya gözaltında alınan yaralanmaların ayrıntılarını içerebilir.

Bu tür verilerin bir araya gelmesi, siber suçlular için mükemmel bir cephanelik oluşturur. Sadece finansal dolandırıcılık veya kimlik hırsızlığı için değil, aynı zamanda şantaj için de kullanılabilirler. Bir kişinin adli bir süreçle ilişkilendirilen tıbbi kayıtlarının internetin karanlık köşelerinde satılması veya ifşa edilmesi tehdidi, mağdurlar üzerinde yıkıcı bir psikolojik etki yaratabilir. Suçlular, bu bilgileri kullanarak kurbanları hedef alan son derece ikna edici oltalama (phishing) saldırıları düzenleyebilir ve onları daha fazla bilgi vermeye veya para ödemeye ikna edebilir. Bu nedenle, çalınan verilerin sadece bir liste değil, insanların hayatlarını altüst edebilecek potansiyel bir silah olduğu unutulmamalıdır.

Saldiri Nasil Gerceklesti

HCRG, saldırının teknik detayları konusunda oldukça ketum davranıyor. Kamuoyuna yapılan açıklamalarda ve hastalara gönderilen mektuplarda, olayın bir "fidye yazılımı saldırısı" olduğu ve sistemlere "yetkisiz erişim" sağlandığı belirtiliyor. Ancak bu erişimin nasıl ve nereden gerçekleştiğine dair hiçbir bilgi paylaşılmadı.

Saldırganlar ağa bir oltalama e-postasıyla mı sızdı? Güvenlik açığı bulunan bir sunucudan mı faydalandılar? Yoksa saldırı, HCRG'nin çalıştığı bir üçüncü parti bilişim firması üzerinden mi geldi? Bu soruların cevabı şimdilik belirsiz. Şirketler genellikle bu tür teknik ayrıntıları, devam eden soruşturmaları veya potansiyel yasal süreçleri etkilememek ve saldırganlara yeni ipuçları vermemek adına gizli tutmayı tercih ederler. Ancak bu durum, benzer saldırılardan korunmak isteyen diğer kurumlar ve genel siber güvenlik topluluğu için bir öğrenme fırsatının kaçırılması anlamına geliyor. Saldırının kök nedeninin bilinmemesi, gelecekteki güvenlik stratejilerinin etkin bir şekilde planlanmasını da zorlaştırıyor. Saldırının teknik ayrıntıları henüz kamuoyuyla paylaşılmadı.

Etkilenenler Kim

Bu veri sızıntısının mağdurları, toplumun en savunmasız kesimlerinden bazılarını içeriyor. Etkilenenler, CRG Medical Services tarafından İngiltere'deki çeşitli polis teşkilatları için hizmet verilen kişiler. Bu, oldukça geniş ve çeşitli bir grup anlamına geliyor:

  • Gözaltındaki Şüpheliler: Herhangi bir suç şüphesiyle gözaltına alınan ve bu süreçte tıbbi yardıma ihtiyaç duyan kişiler.
  • Mağdurlar: Fiziksel veya cinsel saldırı gibi suçların mağduru olup adli tıp muayenesinden geçen bireyler.
  • Akıl Sağlığı Değerlendirmesi Gerekenler: Gözaltı sürecinde mental sağlık durumları nedeniyle değerlendirmeye alınan kişiler.

Bu insanların ortak noktası, devletin koruması altındayken ve zaten stresli bir durumdayken tıbbi hizmet almış olmalarıdır. Bu kişisel ve tıbbi verilerin sızdırılması, mevcut travmalarını daha da derinleştirebilir. Özellikle bir suçun mağduru olan kişi için, saldırganıyla ilgili olabilecek tıbbi detayların veya kendi muayene raporlarının bilinmeyen kişilerin eline geçmesi fikri bile son derece rahatsız edicidir. Bu durum, sadece veri güvenliği ihlali değil, aynı zamanda insani bir krizdir. Mağdurların mahremiyetinin ve güvenliğinin bu denli ciddi bir şekilde ihlal edilmesi, onların adalet sistemine ve sağlık hizmetlerine olan güvenini de sarsabilir.

Ne Yapabilirsin

Eğer HCRG veya CRG Medical Services'ten bir bildirim mektubu aldıysanız veya bu durumdan etkilendiğinizi düşünüyorsanız, paniğe kapılmadan atabileceğiniz bazı adımlar var:

  1. Ücretsiz Kredi İzleme Hizmetini Aktif Edin: Şirket, mağdurlara 12 ay boyunca ücretsiz kredi izleme hizmeti sunuyor. Bu teklifi mutlaka kabul edin. Adınıza yeni bir kredi kartı başvurusu yapılması veya kredi çekilmesi gibi finansal dolandırıcılık girişimlerini erken aşamada tespit etmenizi sağlar.
  2. Oltalama (Phishing) Saldırılarına Karşı Uyanık Olun: Siber suçlular, sızan bu hassas bilgileri kullanarak size özel hazırlanmış e-postalar, SMS'ler veya telefon aramaları yapabilirler. Örneğin, "Polis soruşturmanızla ilgili önemli bir sağlık güncellemesi var, doğrulamak için tıklayın" gibi son derece inandırıcı mesajlar alabilirsiniz. Unutmayın, hiçbir resmi kurum sizden şifre veya hassas bilgilerinizi e-posta yoluyla istemez. Şüpheli linklere tıklamayın, bilinmeyen ekleri açmayın.
  3. Hesap Güvenliğinizi Gözden Geçirin: Bankacılık, e-posta ve sosyal medya gibi önemli çevrimiçi hesaplarınızın şifrelerini değiştirin. Mümkün olan her yerde iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Bu, şifreniz çalınsa bile hesabınıza yetkisiz erişimi engelleyen ek bir güvenlik katmanıdır.
  4. Veri Sızıntısı Geçmişinizi Kontrol Edin: Bu olay, kişisel verilerimizin ne kadar çok yerde bulunduğunu ve ne kadar savunmasız olduğunu gösteriyor. Farklı sızıntılarda hangi bilgilerinizin ele geçirilmiş olabileceğini görmek için bir Veri Sizintisi Sorgulama platformu kullanmak genel dijital riskinizi anlamanıza yardımcı olur. Ayrıca, bu tür olaylar hakkında güncel kalmak için güvenilir Veri Sizintisi Haberleri kaynaklarını takip etmekte fayda var.

Sirket Ne Diyor

HCRG, olay karşısında standart bir kurumsal savunma hattı çiziyor. Şirketin açıklamalarına göre, Mayıs 2025'te saldırıyı fark ettikleri anda "derhal harekete geçmişler." Bu kapsamda, sistemleri güvence altına almak ve olayı soruşturmak için üçüncü taraf siber güvenlik uzmanlarıyla anlaştıklarını belirtiyorlar. Ayrıca, yasal yükümlülükleri gereği İngiltere'nin veri koruma otoritesi olan Bilgi Komiserliği Ofisi'ne (ICO) ve Ulusal Siber Güvenlik Merkezi'ne (NCSC) durumu bildirmişler.

Peki, madem her şey bu kadar hızlı yapıldı, hastaları bilgilendirmek neden bir yıldan fazla sürdü? Şirketin bu kritik soruya cevabı, soruşturmanın "karmaşık ve zaman alıcı" olması. HCRG, hangi verilere erişildiğini ve bu verilerin hangi kişilere ait olduğunu tam olarak tespit etmenin uzun bir süreç olduğunu iddia ediyor. Büyük ve karmaşık sistemlerde bu tür bir analizin zaman alabileceği bir gerçek. Ancak, GDPR gibi veri koruma yasaları, "yüksek risk" içeren durumlarda bireylerin "haksız gecikme olmaksızın" bilgilendirilmesini şart koşar. Bir yılın "haksız bir gecikme" olup olmadığına ise muhtemelen ICO karar verecek. Bu kadar uzun bir bekleme süresi, ICO tarafından ciddi para cezalarıyla sonuçlanabilir. Şirket, bir iyi niyet göstergesi olarak mağdurlara 12 aylık kredi izleme hizmeti sunsa da, bu durumun yarattığı güven erozyonunu ve potansiyel zararı telafi etmeye yetip yetmeyeceği zamanla görülecek.

Kaynak

https://databreaches.net/2026/06/18/uk-more-than-one-year-later-hcrg-is-first-notifying-patients-of-ransomware-attack/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı ShapedPlugin Güncellemeleri WordPress Sitelerine Virüs Bulaştırdı

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.