SecurityWeek对美国卫生与公众服务部民权办公室(HHS OCR)所维护的医疗保健数据泄露数据库进行了分析,该数据库存储着影响超过500人受保护健康信息的事件相关信息。
在2024年1月1日至12月31日这一年间,OCR收到了720起事件的报告。根据对各次泄露事件数据的汇总,大约有1.86亿人受到影响。受影响的信息可能涵盖姓名、联系方式、出生日期、社会安全号码、保险信息、医疗信息,甚至财务信息等。
在所有数据泄露事件中,约有520起影响了医疗服务提供者;医疗保健业务伙伴是另一类常见的受影响实体,涉及120起事件;健康计划则涉及近100起事件。
近600起事件被归为“黑客/IT事件”,其中包含勒索软件攻击。第二种常见的事件类型为未经授权的访问或披露。大约450起泄露事件涉及网络服务器,约160起涉及电子邮件,威胁行为者通常利用电子邮件进行钓鱼攻击和恶意软件传播。
OCR数据库还记录了受影响组织所在的州。德克萨斯州和加利福尼亚州的事件数量最多,各有约60起;其次是纽约(46起)、伊利诺伊州(43起)、佛罗里达州(37起)、宾夕法尼亚州(31起)、俄亥俄州(29起)、马萨诸塞州(29起)、田纳西州(25起)和密歇根州(22起)。
2024年最大的医疗保健数据泄露事件影响到了Change Healthcare,针对该公司的勒索软件攻击致使约1亿人的信息被盗。
受重大数据泄露事件影响的组织还有Kaiser Permanente(1340万)、Ascension Health(550万)、HealthEquity(430万)、Concentra Health Services(390万)、医疗保险和医疗补助服务中心(310万)、Acadian Ambulance Service(280万)、A&A Services(以Sav - Rx名义运营,280万)、WebTPA(250万)和Integris Health(230万)。
其他报告受害者超过100万的医疗保健数据泄露事件包括Medical Management Resource Group(230万)、Summit Pathology(180万)和Geisinger(120万)。
参考来源:https://www.securityweek.com/2024-us-healthcare-data-breaches-585-incidents-180-million-compromised-user-records/
