美国医疗系统通知超过 88.2 万名患者其数据泄露事件

医院姐妹健康系统（Hospital Sisters Health System，简称 HSHS）通知超过 88.2 万名患者，2023 年 8 月的一次网络攻击导致数据泄露，暴露了他们的个人和健康信息。

HSHS 成立于 1875 年，与 2200 多名医生合作，拥有约 12000 名员工。该系统还在伊利诺伊州和威斯康星州运营着 15 家当地医院和医生诊所网络，其中包括两家儿童医院。

这家非营利医疗系统在发给受影响者的数据泄露通知中表示，事件发生在 2023 年 8 月 27 日，当时检测到攻击者已进入 HSHS 的网络。

安全漏洞发生后，其系统还受到了广泛故障的影响，导致伊利诺伊州和威斯康星州医院的 “几乎所有操作系统” 和电话系统瘫痪。HSHS 还聘请了外部安全专家调查此次攻击，评估其影响，并帮助其 IT 团队恢复受影响的系统。

“我们正在优先考虑患者安全，同时建立恢复流程。在第三方专家的支持下，我们正在尽快、安全地恢复系统，”HSHS 在 2024 年 9 月的一份声明中表示。“像我们这样的医疗系统在数千台服务器上运行数百个系统应用程序，因此恢复和调查工作需要一些时间才能完成。”

尽管此次事件和随后的故障有所有勒索软件攻击的迹象，但没有勒索软件组织声称对此负责。

经过法医调查，HSHS 发现攻击者在 2023 年 8 月 16 日至 8 月 27 日期间访问了受感染系统上的文件。

“此后，我们一直在审查这些文件，并在审查过程中陆续通知信息被发现的个人，”该系统表示。

威胁行为者在 HSHS 系统内访问的信息因每个受影响的个人而异，包括姓名、地址、出生日期、病历号、有限的治疗信息、健康保险信息、社会安全号码和/或驾照号码的组合。

尽管 HSHS 表示没有证据表明受害者的信息已被用于欺诈或身份盗窃，但警告受影响的个人监控其账户明细和信用报告中的可疑活动。该医疗系统还为受影响者提供了一年免费的 Equifax 信用监控服务。

当 BleepingComputer 今天早些时候联系 HSHS 发言人确认数据泄露是否由勒索软件攻击导致时，对方尚未立即回复。

上周，康涅狄格州医疗保健提供商社区健康中心（CHC）通知超过 100 万名患者数据泄露事件，而纽约血液中心（NYBC）—— 世界上最大的独立血液收集和分发组织之一 —— 表示勒索软件攻击迫使其重新安排了一些预约。

本月早些时候，联合健康（UnitedHealth）透露，去年 Change Healthcare 勒索软件攻击中约有 1.9 亿美国人的信息被盗，几乎是去年 10 月披露的 1 亿人的两倍。

去年 12 月下旬，美国卫生与公众服务部（HHS）提出了 HIPAA 更新，以应对大规模医疗安全漏洞激增的情况，旨在保护患者的健康数据。

消息来源：Bleeping Computer, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文