在一個(gè)出名的黑客論壇上有攻擊者泄露了美國(guó)超過(guò) 6000 名患者高度敏感的健康保險(xiǎn)數(shù)據(jù)的數(shù)據(jù)庫(kù)。

攻擊者聲稱這些數(shù)據(jù)是從美國(guó)保險(xiǎn)巨頭 Humana 處竊取的，包括該公司健康計(jì)劃內(nèi)客戶可追溯到 2019 年的詳細(xì)醫(yī)療記錄。被泄露的信息包括患者姓名、ID、電子郵件地址、密碼哈希、醫(yī)療數(shù)據(jù)等信息。

數(shù)據(jù)泄露發(fā)生在美國(guó)第三大健康保險(xiǎn)公司 Humana 通知其 65000 名健康計(jì)劃成員存在安全漏洞四個(gè)月后。

2020 年 10 月 12 日左右，承包商的員工向未經(jīng)授權(quán)的人提供了醫(yī)療記錄。

2020 年 12 月 16 日，受數(shù)據(jù)泄露影響的一名患者向 Humana 提起訴訟。

Humana 確認(rèn)被泄露的數(shù)據(jù)屬于該公司。已經(jīng)下載了該數(shù)據(jù)的論壇用戶表示，數(shù)據(jù)并不向攻擊者所說(shuō)是 2019 年的數(shù)據(jù)，而是 2020 年的數(shù)據(jù)。如果這一信息屬實(shí)的話，被泄露的數(shù)據(jù)可能是 2020 年的攻擊中被泄露的一部分。

而攻擊者提供證明的部分?jǐn)?shù)據(jù)大多都是 2019 年的，可能另有來(lái)路，不是同一批。

泄露了什么

泄露的 SQL 數(shù)據(jù)庫(kù)包含超過(guò) 82 萬(wàn)行數(shù)據(jù)，一共 97 個(gè)表。其中一些表存儲(chǔ)了 6487 個(gè)美國(guó)人的醫(yī)療數(shù)據(jù)，包括全名、患者 ID、電子郵件地址、帶有郵政編碼的街道地址、密碼哈希、隱私政策確認(rèn)狀態(tài)、醫(yī)療保險(xiǎn)計(jì)劃、醫(yī)療數(shù)據(jù)、與患者有關(guān)的圖片與視頻(X 射線、CT 掃描、保險(xiǎn)文件掃描等)。

此外，該數(shù)據(jù)庫(kù)似乎還包含其他 API 調(diào)用的私有密鑰。攻擊者可以使用這些 API 密鑰訪問(wèn) Humana 或其他合作伙伴的在線服務(wù)。

影響范圍

7 月 16 日，SQL 數(shù)據(jù)庫(kù)通過(guò) WeTransfer 免費(fèi)對(duì)外公開(kāi)了。尚不知道有多少人已經(jīng)得到了這些數(shù)據(jù)，而 WeTransfer 已經(jīng)獲悉了此事，不日就會(huì)刪除托管的數(shù)據(jù)庫(kù)。

由于該數(shù)據(jù)庫(kù)包含大量高度敏感的個(gè)人信息，攻擊者利用這些信息能夠做很多事情。例如：

• 發(fā)起魚(yú)叉郵件/垃圾郵件
• 進(jìn)行欺詐性保險(xiǎn)索賠
• 使用受害者的健康保險(xiǎn)
• 對(duì)患者進(jìn)行勒索
• 進(jìn)行身份竊取

如果您是 Humana 的客戶，醫(yī)療數(shù)據(jù)就有可能被泄露。