今年2月,美国医疗IT巨头Change Healthcare遭遇勒索软件攻击,造成大面积的网络中断。4月22日,母公司联合健康(UnitedHealth)表示,这起攻击事件可能已让很大一部分美国患者的个人信息泄露。
虽然没有透露受数据泄露影响的具体人数,但联合健康在一份声明中称,根据迄今为止的初步目标数据抽样,该公司已经发现了包含受保护健康信息(PHI)或个人身份信息(PII)的文件,这些文件可能覆盖了美国很大一部分人。
“鉴于数据审查的持续性质和复杂性,可能需要几个月的持续分析,然后才能获得足够的信息来识别和通知受影响的客户和个人,”联合健康表示。
为了达成尽其所能保护患者数据不被披露的承诺,联合健康最终选择支付赎金,但未透露具体金额。
虽然目前有22张据称是受感染文件的屏幕截图已上传到暗网,但该公司称不足以证明泄露的信息已经被公开。
《华尔街日报》4月22日报道称,黑客在发起勒索软件攻击之前,已经在联合健康集团的系统中停留了一个多星期,他们使用远程管理工具上的受损凭据来获得初始访问权限。
美国卫生与公众服务部(HHS)上个月表示,已开始调查受保护的健康信息是否受到损害,以及Change Healthcare和UHG是否遵守了健康保险流通与责任法案(HIPAA)的规定。
目前联合健康拥有超过1.52亿名用户,旗下的Change Healthcare作为医疗支付关键供应商,每年促成超过 150 亿笔交易,大约每 3 份患者记录中就有 1 份通过其系统。这意味着即使是不是UnitedHealth客户的患者也可能受到攻击的影响。
