资讯

NEWS

盘点2017美国重大医疗信息泄露事件——数据安全何去何从?

Jessica Davis    2017年05月19日 10:49     |  3873
来源:HIMSS
摘要:

2016年,医疗行业成为令黑客的垂涎欲滴的目标,到2017年,这个现象仍在继续

【健康点】2016年,医疗行业成为令黑客的垂涎欲滴的目标。到2017年,这个现象仍在继续。从未加密的存储器到缺乏保护的网站,都暴露了医疗机构薄弱的信息安全意识。这篇文章报道了2016年至今整个医疗行业中最严重的信息泄露事件,提醒大家如何在未来规避类似错误。

1. Aesthetic Dentistry and OC Gastrocare牙科病历泄露事件

根据DataBreaches.net网站5月4号的报道,暗网黑客组织TheDarkOvrlord(下简称“TDO”)通过三次非法侵入,盗取并公布了18万份患者病历,其中包括3400余份纽约地区牙科美容诊所Aesthetic Dentistry的病历,3.41万份加州的牙科护理诊所OC Gastrocare的病历,以及14.2万分佛罗里达州坦帕湾地区Tampa Bay Surgery Center病历。TDO通过推特账号公布了可供任何人下载病人资料库的网页链接。

2. Children health records 儿童病历泄露事件

根据黑客Skyscraper4月26日向DataBreaches.net透露,在暗网上有超过50万份儿童病历可供人下载。这些病历包含了儿童及其父母的姓名、社会保险号、电话号码以及住址。DataBreaches.net网站并未点名被黑客攻击的机构名称,但提到另有数所小学系统被黑客攻击,超过20万份学生档案被泄露。而卫生部民权办公室接到儿科医生上报被盗的病历数量与所报道数量并不一致。这意味着许多医务人员还未觉察病历信息已被泄露。

3. Lifespan莱仕邦泄露事件

罗德岛州普罗维登斯规模最大的医疗网络公司莱仕邦发布公告,2月25日,一名公司员工车辆遭盗窃,手提电脑被盗,电脑中超过2万份病历敏感信息可能会遭泄露。此员工事后立即通知了相关法律部门和莱仕邦公司管理人员。公司立刻更改了该名员工进入莱仕邦信息系统的权限。

4. HealthNow Networks泄露事件

通过ZDNet和DataBreaches.net网站的共同调查发现,几个月前,一位HealthNow Networks的软件开发员在互联网上上传了资料库备份后,超过91.8万份老年人的个人健康数据被泄露。Health Now Networks是一家佛罗里达州的电话营销公司,其业务主要是向需要糖尿病医疗器械的老年人推销医疗用品。但Health Now Networks在2015年未向当地有关部门上报当年度报告,该业务已经不再列为合法注册经营业务。上文提及的软件开发员受委托为HealthNow Networks开发客户数据库,但他表示“工作量实在太大”。

5. ABCD Children’s Pediatrics 小儿科泄露事件

位于圣安通尼奥的ABCD小儿科诊所在遭到勒索软件攻击后,超过5.5万明患者信息可能遭到泄露。泄露资料中可能包括病人姓名、社会保险号、保险账单信息、出生日期、病历信息、化验结果、手术信息编码、个人基本信息等。据调查,勒索软件名为Dharma,是勒索软件Crisis的变体。根据诊所官方回应,尽管该病毒软件通常不会泄露系统数据,但诊所无法完全排除这种可能性。

6. Washington University School of Medicine华盛顿大学医学院泄露事件

一位华盛顿大学医学院员工于12月2日遭到钓鱼攻击,8万余份病历可能遭到泄露。而医学院表示,官方是在攻击七周后,即1月24日才获悉此信息。据此员工回应,当时他回复了伪装成合法请求的钓鱼邮件,导致未经授权的黑客获取入侵其邮箱账户的权限。这些邮箱账户中包含了相关患者信息。

7. Metropolitan Urology Group大都会泌尿集团泄漏事件

西雅图大都会泌尿集团在11月遭到勒索软件攻击,约1.7万余名患者个人信息可能遭泄露。美国卫生部民权办公室称,集团的两个服务器遭受病毒攻击,可能泄露了2003年至2010年的患者数据,包括患者姓名、患者账号、医疗机构识别码、手术信息编码、医疗服务数据等。其中有5%的患者社保号码被泄露。

8. Denton Heart Group心脏医疗集团泄漏事件

作为HealthTexas医疗网络一员,Denton心脏医疗集团备份了7年电子病历数据的未加密硬盘被盗。其备份信息包括从2009年到2016年间患者的姓名、出生日期、家庭住址、电话号码、驾照号码、保险政策、医生姓名、诊所账号、病历信息、用药信息、检验结果和其他相关临床数据。

9. Brand New Day医疗保险泄露事件

由美国联邦医疗保险认可的Brand New Day医疗保险在3月通知了1.4万名被保人其医疗信息可能会遭泄露。因为保险公司的加密电子医疗信息(ePHI)遭到非授权人员通过第三方厂商系统入侵。12月28日,保险公司发现一名未经授权的用户访问了公司提供给其HIPPA商业伙伴的加密电子医疗信息。公司官方称,该未授权用户是通过承包商使用的厂商系统访问了相关信息。

10. Singh and Arora Oncology Hematology血液肿瘤中心泄露事件

2016年8月,密歇根Singh and Arora血液肿瘤中心遭到黑客攻击。该中心随后在2月通知了2.2万名患者,其信息可能会遭到泄露。根据当地ABC12电台报道,黑客入侵了包含2016年2-7月数据的服务器,可能遭泄露的数据包括患者姓名、社保号、家庭住址、电话号码、出生日期、CPT代码和保险信息等。

11. Verity Medical Foundation- San Jose Medical Group圣何塞医疗集团泄漏事件

作为加利佛尼亚Verity医疗系统的成员,Verity医疗基金-圣何塞医疗集团的网站遭受黑客攻击,1万余名病人可能遭到泄露。Verity集团在加州运营有6家综合医院、Verity医疗基金及Verity医生网络。2016年,一名未经授权的用户通过集团网站入侵,直到2017年1月6号才被发现。现此网站已被关闭。

12. CoPilot Provider Support Services医院管理服务及医疗信息公司泄露事件

CoPilot医院管理服务及医疗信息公司发现2015年10月其网站存在潜在信息泄露,随后通知了22万使用其服务的患者和医疗机构/执业人员。经公司官方调查,一名未经授权的用户入侵了患者和医疗机构/执业人员使用的数据库。黑客下载了部分包含个人信息的文件(如:姓名、出生日期、家庭住址、电话号码、医疗保险和部),但并未涉及财务或诊疗信息。

13. Indiana-based Cancer Services 小红门癌症服务中心泄露事件

1月11日,印第安纳州小红门癌症服务中心的服务器和备份硬盘被非法侵入,其数据被解密并被黑客组织TDO勒索绑架,要求缴纳50比特币(约合4.3万美元)赎金。据中心官方称,TDO先给机构高层的手机发送短信,后寄送了一封正式信函和几封邮件,恐吓会联系癌症患者、捐助方及其社区合作伙伴。

14. Emory Healthcare埃默里医疗机构泄漏事件

安全研究员Chris Vickery于1月3日发现亚特兰大埃默里医疗机构受到黑客Harak1r1(0.2 Bitcoin勒索软件)攻击。12月30日,MacKeeper安全研究中心发现一个MongoDB数据库配置错误,其中包含超过20万名患者的相关信息及其他敏感数据。 1月3日,该公司确认这些数据来自Emory Brain Health Center。Vickery说,Harak1r1可能清除了Emory Brain Health Center的数据库,并禁止了用户访问患者病历的权限。

15.Potomac Healthcare波托马克医疗机构泄露事件

据安全研究员Chris Vickery,波托马克医疗机构泄露了超过11 G美国陆军特种作战司令部医疗工作者的敏感信息。波托马克医疗机构是美国国防部业务承包商,通过管理咨询公司Booz Allen Hamilton向政府提供医疗工作者。MacKeeper 的白帽黑客Vickery称,他在无保护的远程同步服务中发现了安全漏洞,并通过电话和电子邮件告知了波托马克医疗机构,但是一个小时后,这些数据仍然还在同步服务器中。

作者:Jessica Davis  编译:HIMSS 来源:HIMSS

-end-

  • 0
  • 推荐文章

    RECOMMENDED ARTICLES

    评论

    COMMENTS

    发表言论 新浪、腾讯微博帐号可直接登录
    本篇文章暂无评论

    微信公众号

    caixin-life

    财点

    Health Demo

    1年时间,中国医疗企业向海外猛砸超过400亿,到底都干了啥?

    一次次被刷新的交易记录、一件件被收入囊中的专利医疗技术,中国企业近乎是…

    热门标签

    TOP TAGS

    更多标签

  • 关于我们
    健康点,财新传媒旗下医疗健康新媒体,用财经视角和新媒体思路解读医疗健康产业。我们秉承财新基因,立足医疗健康,借力互联网+,关注并连接从医到药的产业力量。
    寻求报道
    若你是大健康产业的关注者、开拓者、研究者、实践者,请联系我们,健康点有兴趣报道:
    1,生命医疗、运动健身、移动健康、智能硬件的前沿资讯与热点新闻;
    2,大健康产业的新商业模式、资本故事与数据分析;
    3,身在快节奏都市却又贴近自然的生活和运动方式。

    你可以给我们发邮件:healthpoint@caixin.com