对技术公司 HealthEC 的攻击暴露了 18 家美国医疗服务提供商的近 450 万份患者注册记录。
对于密歇根州的一家医疗服务提供商来说,这是几个月内第二次因与其供应链相关的黑客攻击而导致其大量患者数据(约 100 万条记录)被泄露。
HealthEC 销售人口健康管理解决方案,医疗服务提供商依靠该解决方案分析、预测和规划与患者的接触,这意味着该供应商掌握着个人的个人、医疗和财务数据。
该公司于 12 月 22 日披露了黑客攻击事件,同一天,该公司及其受影响的客户开始向受影响的患者发送漏洞披露信。
然而,直到本周 HealthEC 有关该事件的文件在美国卫生与公众服务部的漏洞门户网站上公布后,攻击的严重程度才为公众所知。根据 HHS 的列表,共有 4452782 人受到了此次信息泄露事件的影响。
HealthEC 在最初披露的信息中称,去年 7 月 14 日至 23 日,不明身份的威胁行为者访问了其部分系统,在此期间,某些文件被复制。
"该公司说:"我们随后对文件进行了彻底审查,以确定文件中存在哪些具体信息以及这些信息与谁有关。
"审查于 2023 年 10 月 24 日前后完成,确定了与港灯部分客户有关的信息。HEC 于 2023 年 10 月 26 日开始通知我们的客户,我们与他们合作通知可能受到影响的个人。
受影响的 18 家客户包括纽约综合护理联盟、博蒙特 ACO、Corewell Health、HonorHealth、TennCare 和普林斯顿大学医疗中心医生组织。
被窃取的文件包括患者的个人资料,如社会安全号和纳税人识别号、病情、治疗和处方细节、医疗保险信息以及账单和索赔记录。
对于密歇根州的 Corewell Health 公司来说,这是该公司的患者在短短几个月内第二次发现自己成为重大数据泄露事件的受害者,这次攻击的目标是该公司的一家供应商。
密歇根州总检察长丹娜-内塞尔(Dana Nessel)在上周的一份声明中说,HealthEC 的数据泄露事件影响了该州 100 多万居民。
11 月,内塞尔说,约有 100 万密歇根人受到了另一起影响 HealthEC 患者的供应链攻击事件的影响:5 月 30 日,患者参与公司 Welltok 遭到攻击。Clop勒索软件团伙在针对MOVEit Transfer用户的一系列大肆攻击中,从Welltok窃取了近850万份个人记录。
密歇根州的另一个大型医疗保健系统麦克拉伦医疗保健公司(McLaren Health Care)在 8 月份的一次网络攻击中丢失了 200 多万份记录,密歇根大学也在同一个月遭受了重大网络攻击。
在上周的声明中,总检察长内塞尔表示,尽管密歇根州法律并未要求 Corewell Health 在公布最近一次数据泄露事件之前与她所在的部门取得联系,但他们还是与总检察长取得了联系。她说,该部门经常通过媒体报道了解数据泄露事件。
"她说:"密歇根州居民遭遇了大量与医疗保健相关的数据泄露事件,他们应该得到有力的保护。
"密歇根州立法机构必须加入其他许多州的行列,要求遭遇数据泄露的公司立即通知总检察长办公室。
根据国际隐私专业人员协会(International Association of Privacy Professionals)汇编的信息,截至 2021 年 3 月,有 35 个州和哥伦比亚特区要求在发生数据泄露时通知州总检察长。
