美國保險巨頭Humana客戶醫療數據被泄露
責編:gltian |2021-07-28 13:40:33在一個出名的黑客論壇上有攻擊者泄露了美國超過 6000 名患者高度敏感的健康保險數據的數據庫。
攻擊者聲稱這些數據是從美國保險巨頭 Humana 處竊取的,包括該公司健康計劃內客戶可追溯到 2019 年的詳細醫療記錄。被泄露的信息包括患者姓名、ID、電子郵件地址、密碼哈希、醫療數據等信息。
數據泄露發生在美國第三大健康保險公司 Humana 通知其 65000 名健康計劃成員存在安全漏洞四個月后。
2020 年 10 月 12 日左右,承包商的員工向未經授權的人提供了醫療記錄。
2020 年 12 月 16 日,受數據泄露影響的一名患者向 Humana 提起訴訟。
Humana 確認被泄露的數據屬于該公司。已經下載了該數據的論壇用戶表示,數據并不向攻擊者所說是 2019 年的數據,而是 2020 年的數據。如果這一信息屬實的話,被泄露的數據可能是 2020 年的攻擊中被泄露的一部分。
而攻擊者提供證明的部分數據大多都是 2019 年的,可能另有來路,不是同一批。
泄露了什么
泄露的 SQL 數據庫包含超過 82 萬行數據,一共 97 個表。其中一些表存儲了 6487 個美國人的醫療數據,包括全名、患者 ID、電子郵件地址、帶有郵政編碼的街道地址、密碼哈希、隱私政策確認狀態、醫療保險計劃、醫療數據、與患者有關的圖片與視頻(X 射線、CT 掃描、保險文件掃描等)。
此外,該數據庫似乎還包含其他 API 調用的私有密鑰。攻擊者可以使用這些 API 密鑰訪問 Humana 或其他合作伙伴的在線服務。
影響范圍
7 月 16 日,SQL 數據庫通過 WeTransfer 免費對外公開了。尚不知道有多少人已經得到了這些數據,而 WeTransfer 已經獲悉了此事,不日就會刪除托管的數據庫。
由于該數據庫包含大量高度敏感的個人信息,攻擊者利用這些信息能夠做很多事情。例如:
發起魚叉郵件/垃圾郵件
進行欺詐性保險索賠
使用受害者的健康保險
對患者進行勒索
進行身份竊取
如果您是 Humana 的客戶,醫療數據就有可能被泄露。
參考來源
來源:FreeBuf.COM