医疗保健数据泄露影响450万患者

healththec LLC的数据泄露影响了近450万人，网络攻击者访问了高度敏感的医疗信息。这家总部位于新泽西的医疗科技公司在2023年12月21日发给缅因州总检察长办公室的通知中首次报告说，有112005人受到了这次违规行为的影响。

然而，美国卫生与公众服务部民权办公室网站2024年1月3日公布的数据显示，这一数字接近450万。

在其网站上发布的一份日期为2023年12月22日的通知中，healththec透露，在7月14日至7月23日期间，一个未知行为者访问了其部分系统，导致某些文件被复制。

在10月24日左右完成审查后，该公司确定高度敏感信息被泄露，包括医疗记录编号。医疗数据，包括患者的诊断、精神/身体状况和处方信息。健康保险信息，如受益人号码和医疗补助/医疗保险标识。账单和索赔数据，包括患者账号和治疗费用信息。以及个人身份信息，如姓名、地址、出生日期、社会保险号、纳税人识别号码等。

此外，作为HealthEC的合作伙伴或客户的17家美国医疗保健组织也受到了影响。HealthEC表示，已于10月26日开始通知这些组织，并与他们合作通知可能受影响的个人。

该公司表示，已通知联邦执法部门这一违规行为，并正在审查与所持信息相关的现有政策和程序。

受影响的客户被敦促采取以下措施，以保护自己免受身份盗窃和欺诈。这些措施分别是审查账户报表是可疑的活动。申请一份免费的信用报告来监控可疑活动。对他们的信用档案设置初始或扩展的欺诈警报。以及向相关方报告任何可疑活动，包括保险公司、金融机构和执法部门。

Swimlane首席安全自动化架构师Nick Tausek在评论这一漏洞时指出:“这一披露重申了医疗行业在2023年的脆弱性，这是我们进入新的一年的重要提醒。”

AttackIQ公司对手研究小组的负责人Andrew Costis说：“像HealthEC这样管理着数百万供应商敏感信息的公司必须采用一种更加了解威胁的防御策略，以便能够主动应对威胁。”

组织可以利用威胁参与者使用的常见策略、技术和程序(TTPs)，根据当前的安全措施对其进行测试，以识别任何漏洞或潜在的盲点。通过持续测试模拟这些攻击将有助于促进更主动和有效的反应。