数据泄露事件概览及最新进展

关键要点

最近，Common Ground Healthcare Cooperative 向 133714 名计划成员发出通知，称他们的数据可能在其邮件供应商 OneTouchPoint 的黑客事件及后续勒索软件攻击中被访问。此事件导致其客户数据的严重泄露。

OneTouchPoint 之前曾向 30 个健康计划发布通知，影响到约 107 万人，结合 CGHC 以及 Aetna ACE 在康涅狄格州的 326278 名成员，该事件的总受影响人数已超过 153 万。

根据早前报道，对 4 月 28 日对 OneTouchPoint 的攻击进行的调查表明，攻击者在部署恶意软件的前一天已获得了访问其系统的权限。即便如此，该供应商无法确定攻击者在这一时间段内访问了哪些文件。

被攻击的服务器包含与患者相关的信息，这些信息可能包括成员姓名、身份证号码、出生日期、联系信息、诊断代码、服务描述及在健康评估中提供的个人信息。其中一个受托实体还包含社会安全号码。

OneTouchPoint 已向监管机构和执法机关报告该事件，并正在采取措施增强其安全保障、政策和程序。

Conifer 收集患者数据泄露事件

本月早些时候，Conifer Revenue Cycle Solutions 开始通知患者，称其电子邮件系统的黑客攻击可能让黑客访问了账户中的个人数据，影响约 19000 名与德克萨斯州哈灵根和布朗斯维尔的 Valley Baptist Medical Center 有关的患者。

受影响的医院还包括 Resolute Health Hospital、圣安东尼奥的 Baptist Health System 以及 Brookwood Baptist Medical Center。

Conifer 在 4 月 14 日发现有未授权的用户访问其 Microsoft Office 365 托管的商业电子邮件账户。由第三方安全公司支持的调查披露，攻击者几乎在被发现前的四个月就已访问了该账户。

受影响的电子邮件账户独立于 Conifer 的内部网络和系统，因此未受到该事件的影响。

对于 Conifer 的客户，受到损害的数据因患者而异，可能包含姓名、出生日期、社会安全号码、驾驶执照、财务账户详情、健康保险信息、诊断、治疗、处方、账单和索赔数据等其他敏感信息。调查未能明确确定这些数据是否被实际访问。

整体受影响的患者数据限于人口统计细节、健康保险信息、病历号、患者账户号、服务日期、提供者及设施名称、药物、程序细节及诊断等。

Conifer 的通知发出时间大约滞后于健康保险流通与责任法案中规定的 60 天要求。Conifer 的通知似乎表明延迟是由于其审核用以确定患者信息的源头。

一旦发现入侵，Conifer 采取了防御措施以应对此次黑客攻击所带来的安全风险，重置了电子邮件账户密码，并增强了其安全控制和监测措施。此外，该供应商还“加快了对商业电子邮件账户多因素认证的实施”。

EmergeOrtho 数据泄露事件

来自北卡罗来纳州的 EmergeOrtho 报告称，在 5 月 18 日发生的“复杂”勒索软件攻击中，有 75200 名患者的数据被访问。通知显示，延迟通报与漫长的调查过程有关。

在发现事件后，EmergeOrtho 启动了其灾难恢复响应，并聘