医疗数据泄露事件汇总

关键要点

近日，总部位于德克萨斯州奥斯汀的开始通知超过
251,000 名患者，他们的数据在 2022 年 9 月的一次网络攻击中被窃取。

此次“网络中断”最早是在 9 月 5 日被发现，随后 BAA采取措施保护网络，并与外部网络安全公司合作进行调查。法证调查显示，攻击者在被发现前一周就已获得访问权，从而在 9 月 3 日窃取了某些数据。

BBA 将通知患者的长时间延迟归因于在 12 月 5 日结束的“彻底调查”。根据《健康保险可携带性和责任法案》，被覆盖实体需在 60天内及时通知患者可能的数据暴露情况。

通知中使用的语言暗示，该数据泄露事件在最初的黑客攻击和数据盗窃之后的几个月才被发现。

已警告不要采用这种通知方式，敦促提供者应尽早告知患者可能存在的隐私违规。

对于与 BBA 相关的患者，被窃数据涉及到“在 2022年由该业务合作伙伴管理的一些就业保险福利中的个人”。被盗的数据因个体而异，可能包括社保号码、联系方式、驾照或州身份证号码、医疗资料、健康保险信息及出生日期等。

佛罗里达州的 Circles of Care 也开始通知 61,170 名患者，他们的数据在 2022 年 9 月 21 日的一次网络黑客攻击中被盗。

经过与第三方独立网络安全团队的联合调查，发现攻击者首次在 9 月 6 日访问网络，并利用此访问权限获取某些信息。调查于 2022 年 11 月 29日结束。

被盗数据可能包括患者姓名、出生日期、社保号码、联系方式、驾照号码、银行账户号码、医疗账户号码、服务提供者姓名、服务日期、诊断和手术代码。

Circles of Care 目前正在努力增强现有的网络安全防护，并强化员工网络安全培训及政策，以防止再次发生类似事件。

德克萨斯州家庭护理提供者的 124,363 名患者的数据在 2022 年的勒索软件攻击中被加密并可能被窃取。

HCPT 于 6 月 29日“得知其网络环境的部分受到网络攻击，导致存储在网络上的某些文件被加密”。尚不清楚攻击是否在该日期之前开始。通知中提到，“除了加密文件外，未经授权的方还从我们的系统中删除了一部分文件。”

在被发现后，团队立即通知执法机关并启动调查。对受影响数据的“广泛法证调查和综合审查”于 11 月 15 日完成，这或许能够解释通知延迟的原因。

不论如何，调查确认攻击者确实在 6月期间访问了个人和健康信息两周。被盗数据可能包括患者姓名、社保号码、出生日期、联系方式、治疗信息、诊断结果及某些处方信息。

使用 Captify Health 提供的 Your Patient Advisor 的 244,296名患者信用卡信息可能在过去三年内被访问和滥用，原因是某个威胁行为者在其支付门户中植入了恶意代码。Your Patient Advisor是一个在线零售商，销售结肠镜检查准备工具包。

这种恶意代码是在 2021 年 3 月，Your Patient Advisor 接到有关“与其支付卡环境相关的消费者信用卡伪造使用”后被发现的。这使得