医院姐妹健康系统(Hospital Sisters Health System,简称 HSHS)通知超过 88.2 万名患者,2023 年 8 月的一次网络攻击导致数据泄露,暴露了他们的个人和健康信息。
HSHS 成立于 1875 年,与 2200 多名医生合作,拥有约 12000 名员工。该系统还在伊利诺伊州和威斯康星州运营着 15 家当地医院和医生诊所网络,其中包括两家儿童医院。
这家非营利医疗系统在发给受影响者的数据泄露通知中表示,事件发生在 2023 年 8 月 27 日,当时检测到攻击者已进入 HSHS 的网络。
安全漏洞发生后,其系统还受到了广泛故障的影响,导致伊利诺伊州和威斯康星州医院的 “几乎所有操作系统” 和电话系统瘫痪。HSHS 还聘请了外部安全专家调查此次攻击,评估其影响,并帮助其 IT 团队恢复受影响的系统。
“我们正在优先考虑患者安全,同时建立恢复流程。在第三方专家的支持下,我们正在尽快、安全地恢复系统,”HSHS 在 2024 年 9 月的一份声明中表示。“像我们这样的医疗系统在数千台服务器上运行数百个系统应用程序,因此恢复和调查工作需要一些时间才能完成。”
尽管此次事件和随后的故障有所有勒索软件攻击的迹象,但没有勒索软件组织声称对此负责。
经过法医调查,HSHS 发现攻击者在 2023 年 8 月 16 日至 8 月 27 日期间访问了受感染系统上的文件。
“此后,我们一直在审查这些文件,并在审查过程中陆续通知信息被发现的个人,”该系统表示。
威胁行为者在 HSHS 系统内访问的信息因每个受影响的个人而异,包括姓名、地址、出生日期、病历号、有限的治疗信息、健康保险信息、社会安全号码和/或驾照号码的组合。
尽管 HSHS 表示没有证据表明受害者的信息已被用于欺诈或身份盗窃,但警告受影响的个人监控其账户明细和信用报告中的可疑活动。该医疗系统还为受影响者提供了一年免费的 Equifax 信用监控服务。
当 BleepingComputer 今天早些时候联系 HSHS 发言人确认数据泄露是否由勒索软件攻击导致时,对方尚未立即回复。
上周,康涅狄格州医疗保健提供商社区健康中心(CHC)通知超过 100 万名患者数据泄露事件,而纽约血液中心(NYBC)—— 世界上最大的独立血液收集和分发组织之一 —— 表示勒索软件攻击迫使其重新安排了一些预约。
本月早些时候,联合健康(UnitedHealth)透露,去年 Change Healthcare 勒索软件攻击中约有 1.9 亿美国人的信息被盗,几乎是去年 10 月披露的 1 亿人的两倍。
去年 12 月下旬,美国卫生与公众服务部(HHS)提出了 HIPAA 更新,以应对大规模医疗安全漏洞激增的情况,旨在保护患者的健康数据。
发表评论