数据泄露事件概览及最新进展

关键要点

Common Ground Healthcare Cooperative 的 134,000 名计划成员数据可能在 OneTouchPoint 的勒索软件攻击中被访问。
Conifer Revenue Cycle Solutions 报告的黑客攻击导致 19,000 名患者的个人数据泄露。
EmergeOrtho 遭遇勒索软件攻击，影响 75,200 名患者的数据。
Baton Rouge General Hospital 的网络攻击导致医疗记录的电子系统崩溃，现场仍在进行调查。
Northeast Rehabilitation Hospital Network 更新了通知，确认 190,220 名患者受影响。

最近，Common Ground Healthcare Cooperative 向 133,714 名计划成员发出通知，称他们的数据可能在其邮件供应商
OneTouchPoint 的黑客事件及后续勒索软件攻击中被访问。此事件导致其客户数据的严重泄露。

OneTouchPoint 之前曾向 30 个健康计划发布通知，影响到约 107 万人，结合 CGHC 以及 Aetna ACE 在康涅狄格州的
326,278 名成员，该事件的总受影响人数已超过 153 万。

根据，对 4 月 28 日对 OneTouchPoint的攻击进行的调查表明，攻击者在部署恶意软件的前一天已获得了访问其系统的权限。即便如此，该供应商无法确定攻击者在这一时间段内访问了哪些文件。

被攻击的服务器包含与患者相关的信息，这些信息可能包括成员姓名、身份证号码、出生日期、联系信息、诊断代码、服务描述及在健康评估中提供的个人信息。其中一个受托实体还包含社会安全号码。

OneTouchPoint 已向监管机构和执法机关报告该事件，并正在采取措施增强其安全保障、政策和程序。

本月早些时候，Conifer Revenue Cycle Solutions ，称其电子邮件系统的黑客攻击可能让黑客访问了账户中的个人数据，影响约 19,000 名与德克萨斯州哈灵根和布朗斯维尔的
Valley Baptist Medical Center 有关的患者。

受影响的医院还包括 Resolute Health Hospital、圣安东尼奥的 Baptist Health System 以及 BrookwoodBaptist Medical Center。

Conifer 在 4 月 14 日发现有未授权的用户访问其 Microsoft Office 365托管的商业电子邮件账户。由第三方安全公司支持的调查披露，攻击者几乎在被发现前的四个月就已访问了该账户。

受影响的电子邮件账户独立于 Conifer 的内部网络和系统，因此未受到该事件的影响。

对于 Conifer的客户，受到损害的数据因患者而异，可能包含姓名、出生日期、社会安全号码、驾驶执照、财务账户详情、健康保险信息、诊断、治疗、处方、账单和索赔数据等其他敏感信息。调查未能明确确定这些数据是否被实际访问。

整体受影响的患者数据限于人口统计细节、健康保险信息、病历号、患者账户号、服务日期、提供者及设施名称、药物、程序细节及诊断等。

Conifer 的通知发出时间大约滞后于中规定的 60 天要求。Conifer 的通知似乎表明延迟是由于其审核用以确定患者信息的源头。

一旦发现入侵，Conifer采取了防御措施以应对此次黑客攻击所带来的安全风险，重置了电子邮件账户密码，并增强了其安全控制和监测措施。此外，该供应商还“加快了对商业电子邮件账户多因素认证的实施”。

来自北卡罗来纳州的 EmergeOrtho 报告称，在 5 月 18 日发生的“复杂”勒索软件攻击中，有 75,200名患者的数据被访问。通知显示，延迟通报与漫长的调查过程有关。

在发现事件后，EmergeOrtho 启动了其灾难恢复响应，并聘