运营着美国中西部地区多家诊所及 13 家医院的医院修女健康系统(Hospital Sisters Health System)表示,2023 年的一次黑客攻击影响了近 90 万名患者。(图片来源:医院修女健康系统)
美国中西部地区的一家连锁医疗诊所及 13 家天主教医院报告称,2023 年发生的一起黑客攻击事件致使其 IT 系统中断数日,近 90 万人的敏感数据可能遭泄露。
总部位于伊利诺伊州的医院修女健康系统(Hospital Sisters Health System,简称 HSHS)在伊利诺伊州和威斯康星州运营着多家医院和医疗诊所。2023 年 10 月,该系统首次向美国卫生与公众服务部报告此次数据泄露事件时,初步估计受影响人数为 500 人。但周四,HSHS 向缅因州总检察长报告称,实际受影响人数为 882,782 人。
提交给缅因州监管机构的一份样本泄露通知显示,自事件发生以来,HSHS 一直在审查受影响的数据,随着审查的持续进行,一旦发现受数据泄露影响的个人,便会陆续通知他们。
联邦诉讼
并非所有个人受影响的信息都相同,但潜在受影响的信息类型包括姓名、地址、出生日期、病历号、治疗信息、健康保险信息编号、社会安全号码和驾照号码。HSHS 在泄露通知中写道:“目前,我们没有理由认为您的个人信息已被用于欺诈或身份盗窃目的。”
并非所有个人受影响的信息都相同,但潜在受影响的信息类型包括姓名、地址、出生日期、病历号、治疗信息、健康保险信息编号、社会安全号码和驾照号码。HSHS 在泄露通知中写道:“目前,我们没有理由认为您的个人信息已被用于欺诈或身份盗窃目的。”
尽管如此,去年秋季 HSHS 曾在其网站上发布一封 “公开信”(现已删除),警告患者不要回应不明第三方声称是 HSHS 代表索要付款的可疑电子邮件、短信或电话请求。
HSHS 面临一起拟议的集体诉讼。去年 12 月,原告在伊利诺伊州联邦法院提起诉讼,称他们不断接到声称来自 HSHS 的自动语音电话,称其欠款。原告称 HSHS 已向他们每个人确认并无未结清余额,但此类电话仍持续不断。诉状未表明这些所谓的自动电话是否与 HSHS 数据泄露事件存在潜在关联。
除了这起诉讼,HSHS 还面临各种与数据隐私相关的单独集体诉讼。
其中包括一起合并的拟议联邦集体诉讼,原告的信息在 HSHS 2023 年 8 月的黑客攻击事件中遭泄露。该诉讼指控 HSHS 在患者敏感信息数据泄露事件中存在疏忽、不当得利和违约等行为。
HSHS 及其附属的 Prevea 医师集团还面临一起 9 月提起的拟议联邦集体诉讼。除其他指控外,该诉讼称 HSHS 及其集团在其网站和患者门户网站上使用跟踪像素,“系统性” 地侵犯患者医疗隐私权,在未经患者同意的情况下将敏感信息披露给 Meta 等第三方。
除了这些诉讼,还有一起与就业隐私相关的拟议集体诉讼,指控 HSHS 要求潜在雇员在入职前进行体检,作为招聘流程的一部分,求职者必须披露其家族病史,此举违反了《伊利诺伊州遗传信息隐私法》。
数据泄露应对挑战
HSHS 在其泄露通知中表示,2023 年 8 月 27 日,发现 “未经授权的第三方” 暂时获取了其网络访问权限。“得知该情况后,我们立即采取措施控制和修复此事件,并展开内部调查。”HSHS 称已向执法部门报告该事件,并聘请了一家法医安全公司协助调查。调查确定,入侵者在 2023 年 8 月 16 日至 8 月 27 日期间访问了 HSHS 网络上的某些文件。
HSHS 在其泄露通知中表示,2023 年 8 月 27 日,发现 “未经授权的第三方” 暂时获取了其网络访问权限。“得知该情况后,我们立即采取措施控制和修复此事件,并展开内部调查。”HSHS 称已向执法部门报告该事件,并聘请了一家法医安全公司协助调查。调查确定,入侵者在 2023 年 8 月 16 日至 8 月 27 日期间访问了 HSHS 网络上的某些文件。
此次事件还导致 HSHS 及其 Prevea Health 医师集团的 IT 系统和电话在该机构应对黑客攻击期间离线数日。
一些专家表示,HSHS 似乎花了 18 个多月才确定潜在受影响数据的范围和受影响人数,这可能涉及几个因素。
安全公司 Semperis 的事件响应总监杰夫・威奇曼(Jeff Wichman)表示:“部分原因在于他们进行取证分析的数据量庞大。由于数据分散,很难评估哪些人的数据受到了影响,原因有很多。”
例如,其他组织在大规模数据泄露事件中也面临过类似挑战。
威奇曼说:“最近,联合健康集团(United Health)披露,去年 Change Healthcare 的黑客攻击事件影响了近 2 亿人,是最初披露人数的两倍。他们在经过为期 9 个月的详尽取证调查后才确定了这一数字,该调查由高技能的安全专家监督。”
他还说:“就 HSHS 而言,医院和诊所之间的协调需要时间,因为事件响应人员希望在调查过程中确保严谨。”
HSHS 未立即回应信息安全媒体集团(Information Security Media Group)就黑客攻击事件的更多细节(包括是否涉及勒索软件)的询问,以及对各类诉讼发表评论的请求。