美国创纪录的医疗数据泄露事件

关键要点

在二月份的 Change Healthcare 数据泄露事件中，超过 1 亿美国人受到影响，成为历史上最大的医疗数据泄露事件。尽管失窃记录的数量较少，但与 2013 年的雅虎数据泄露和 2024 年的国家公共数据泄露事件相比，Change Healthcare 的事件依然严重。UnitedHealth 近日正式确认有 1 亿人受到影响，相关信息在 HHS 的数据泄露门户网站上发布。数据泄露的范围包括健康保险信息、医疗记录、账单和个人信息等。

UnitedHealth 于 10 月 22 日向美国卫生与公众服务部HHS确认，2 月份的 Change Healthcare 数据泄露事件影响到了超过 1 亿美国人，成为有史以来最大的医疗数据泄露事件。

虽然从记录丢失的实际数量来看，Change Healthcare 数据泄露事件小于 2013 年的雅虎数据泄露事件黑客入侵了超过 30 亿个账户或 2024 年 4 月的国家公共数据泄露事件影响了 29 亿条记录，但其严重性依然不可小觑。

HHS 的民权办公室OCR在 10 月 24 日正式在其 数据泄露门户网站 上发布了这一消息，这是 UnitedHealth 第一次正式确认 1 亿人受到影响。OCR 网站上的 更新常见问答 中提到，UnitedHealth 通知 OCR 说，已经向 1 亿个个体发送了关于该泄露事件的通知信。

在最近的通知之前，UnitedHealth 的首席执行官安德鲁维迪Andrew Witty曾在 5 月对参议院财政委员会作证时表示，“或许三分之一”的美国人的受保护健康信息和个人识别信息PII被盗取。

在这个夏季，UnitedHealth 发布的数据泄露通知详细说明了攻击的广泛范围。以下是被盗信息的一些要点：

蓝灯加速器付费信息类型包含内容健康保险信息主要、次要或其他健康计划/政策、保险公司、成员/团体ID号码、MedicaidMedicare政府支付者ID号码。健康信息医疗记录号码、提供者、诊断、药物、检测结果、图像、护理和治疗信息。账单、索赔和付款信息索赔号码、账户号码、账单代码、支付卡、财务和银行信息、已支付的款项及欠款余额。其他个人信息社会安全号码、驾驶执照或州身份证号码、护照号码。

UnitedHealth 真的需要这么长时间来确认吗？

UnitedHealth 对于经历 2 月份泄露事件的 1 亿人进行确认的时间之长，凸显了商业连续性和灾难恢复之间的区别，First Health Advisory 的首席安全官托比古克Toby Gouker表示。古克提到，组织常常会集中精力确保“电力供应”的持续，依靠商业连续性计划来运营。

“在确保运营稳定的头几周/几个月后，他们才能开始评估和纠正泄露造成的严重后果，”古克说。“对于像这样的复杂攻击，恶意行为者常常使用混淆手段，完整纠正所有损害可能需要数月或数年。”

Anomali 的安全策略师丹奥尔特加Dan Ortega补充道，UnitedHealth 的确认周期在受监管组织的标准范围内。他指出，UnitedHealth 在系统上是一个非常庞大且复杂的实体，因此其监管框架同样庞大复杂。

“考虑到所有相关变量和流程，确认的时间框架似乎是合理的，”奥尔特加说。“然而，这并不意味着这种效率在操作或公共安全方面是可以接受的。随着威胁行为者以机器速度行动，平衡合规性与运营灵活性显得尤为重要。”

Keeper Security 的联合创始人兼首席执行官达伦古琴诺Darren Guccione表示，在像 Change Healthcare 这样的重大数据泄露