美国领先的医疗保健技术公司 HealthEC 周三宣布，超过 400 万人的敏感信息在可追溯至今年 7 月的一次大规模泄露中遭到泄露。

12 月 22 日，这家支持人工智能的健康管理平台向缅因州总检察长办公室提交了一份违规通知，仅列出了 112,005 名黑客受害者，现已发布在其网站上。

根据美国卫生与公众服务部漏洞门户网站的数据，今天（1 月 3 日），受影响人数已大幅跃升至 4,452,782 人，占 HEC 800 万多名会员的一半以上。

在缅因州违规披露报告中，该公司据称于 10 月 24 日首次发现可疑活动，但在完整的违规通知中，该日期被省略，因此不清楚 HEC 究竟何时意识到未经授权的访问。

“当这次网络攻击最初发生时，受影响的人数被列为略高于 100,000 人。新的列表显示，这个数字接近 450 万人。”Swimlane 首席安全自动化架构师 Nick Tausek 说道。

陶塞克表示：“这一披露再次证实了 2023 年医疗保健行业的脆弱性，这是我们进入新年时的一个重要提醒。”

12 月 22 日的完整违规通知指出：

HealthEC 表示：“HEC 意识到可能涉及其网络的可疑活动，并立即开始调查。

声明称：“调查确定，某些系统在 2023 年 7 月 14 日至 2023 年 7 月 23 日期间被不明身份者访问，并且在此期间某些文件被复制。”

“对文件进行彻底审查……于 2023 年 10 月 24 日左右完成……HEC 于 2023 年 10 月 26 日开始通知我们的客户，我们与他们合作通知可能受影响的个人。”

这家总部位于新泽西州的医疗公司在 18 个州拥有超过 26 个客户，与超过 100 万家医疗保健提供者有联系，并为超过 1400 个地区和国家付款人提供服务，其网站称。

HealthEC 表示，黑客可能窃取的敏感信息类型因人而异，但可能包括：

• 姓名、地址、出生日期、
• 社会保障号或纳税人识别号，
• 病历号码，
• 医疗信息（包括但不限于诊断、诊断代码、精神/身体状况、处方信息以及提供者的名称和位置），
• 健康保险信息（包括但不限于受益人号码、订户号码、医疗补助/医疗保险身份），
• 账单和索赔信息（包括但不限于患者帐号、患者识别号和治疗费用信息）。

从医学协会到医院，HealthEC 列出了至少17 家医疗保健提供者（被认为是业务合作伙伴或客户）在此次泄露中受到影响。

较大的名字包括密歇根州的 Corewell Health（以前称为 Spectrum Health）、新泽西州普林斯顿医师组织的大学医疗中心、纽约市的 Metro 社区健康中心、佛罗里达州中部血液学和肿瘤学中心以及加拿大的 KidneyLink。

AttackIQ 对手研究团队分会负责人 Andrew Costis 解释说：“对于像 HealthEC 这样管理不同提供商的数百万敏感信息的公司来说，网络安全必须仍然是重中之重。”

“通过采用更加了解威胁的防御策略，组织可以主动应对威胁，”科斯蒂斯说。

该数字健康平台通过分析数据来识别高风险患者、预测和改善健康结果，还为多个政府卫生办公室提供服务，包括州医疗补助机构和州县卫生部门。

此外，HEC 还为来自 Medicaid 管理式医疗组织、Medicare Advantage 计划和各种雇主健康计划的众多付款人提供服务。

Costis 表示，像 HealthEC 这样的组织应该利用威胁行为者使用的常见策略、技术和程序 (TTP)，根据当前的安全措施对其进行测试，以识别任何差距或潜在的盲点。

科斯蒂斯补充道：“通过持续测试来模拟这些攻击将有助于促进更主动、更高效的响应。”

HEC 表示，目前正在审查其现有政策和程序，并将向受影响的个人提供指导，包括十二个月或更长时间的信用监控和身份保护服务。