美国医院姐妹健康系统(HSHS)近日通知了超过88.2万名患者,称2023年8月的一次网络攻击导致了数据泄露,暴露了他们的个人和健康信息。
HSHS成立于1875年,拥有超过2200名医生和约1.2万名员工。该机构在伊利诺伊州和威斯康星州运营着一个由15家地方医院组成的网络,其中包括两家儿童医院。
这家非营利性医疗系统在发送给受影响患者的数据泄露通知中表示,事件是在2023年8月27日发现的,当时发现攻击者已经侵入了HSHS的网络。
攻击导致系统全面瘫痪
安全漏洞发生后,HSHS的系统还受到了广泛中断的影响,导致伊利诺伊州和威斯康星州的医院“几乎所有操作系统”和电话系统都陷入瘫痪。HSHS还聘请了外部安全专家来调查此次攻击,评估其影响,并帮助其IT团队恢复受影响的系统。
HSHS在2024年9月的一份声明中表示:“我们正在优先考虑患者安全,同时建立恢复流程。在第三方专家的支持下,我们正在尽快且安全地将系统重新上线。像我们这样规模的医疗系统在数千台服务器上运行着数百个系统应用程序,因此我们的恢复和调查工作将需要一些时间才能完成。”
攻击者访问了大量敏感信息
尽管此次事件和由此导致的中断具有勒索软件攻击的所有特征,但目前尚未有勒索软件组织声称对此负责。
经过取证调查,HSHS发现攻击者在2023年8月16日至8月27日期间访问了受感染系统上的文件。HSHS表示:“我们一直在审查这些文件,并在审查过程中逐步通知那些信息被发现的个人。”
攻击者在HSHS系统内访问的信息因受影响的个人而异,包括姓名、地址、出生日期、病历号、有限的治疗信息、健康保险信息、社会安全号码和/或驾驶执照号码等。
患者需警惕潜在风险
HSHS补充说,目前没有证据表明受害者的信息已被用于欺诈或身份盗窃,但仍建议受影响的个人监控其账户对账单和信用报告中的可疑活动。该医疗系统还为受影响的个人提供了一年的免费Equifax信用监控服务。
当BleepingComputer早些时候联系HSHS发言人确认数据泄露是否由勒索软件攻击引起时,该发言人并未立即回应。
医疗行业数据泄露事件频发
上周,康涅狄格州医疗服务提供商社区健康中心(CHC)向超过100万名患者发出数据泄露警报,而全球最大的独立血液采集和分发组织之一纽约血液中心(NYBC)表示,勒索软件攻击迫使其重新安排了一些预约。
本月早些时候,UnitedHealth透露,去年Change Healthcare的勒索软件攻击导致约1.9亿美国人的信息被盗,几乎是10月份披露的1亿人的两倍。
2023年12月下旬,美国卫生与公众服务部(HHS)提出了HIPAA更新,以应对大规模医疗安全漏洞激增的情况,确保患者的健康数据安全。
