19M名患者，657名医疗提供者在债务催收公司攻击后面临数据泄露 媒体

医疗数据泄露事件与风险

关键要点

在 2022 年 2 月，债务催收公司 Professional Finance Company 发生了一起“复杂”的勒索软件攻击，导致 190 万名与657家医疗提供商相关的患者数据被访问。尽管此次事件影响巨大，但它仍仅是 2022 年报告的第三大医疗数据泄露事件。上一轮关注的 Eye Care Leaders 的事件仍然是最大的医疗数据泄露，受影响的患者超过 280 万，而 Shields Health Care Group 的攻击则影响了 200 万名患者。

根据 PFC 发布的通告，安全事件的发生发生在 2 月 26 日，并被及时检测和阻止。此次攻击使攻击者访问并禁用了部分计算机系统。PFC 随即与一位法医专家合作，以确保安全和调查事件的发生。

受影响的数据

调查结果显示，攻击者可能访问了以下信息： 患者姓名 联系信息 应收账款余额 账户支付信息 出生日期 社会安全号码 健康保险信息 医疗治疗记录

PFC 于 5 月 5 日开始通知受影响的医疗提供商，涉及一份包括牙医、皮肤科医生、家庭医生、麻醉师等的广泛名单。

为了应对此次攻击，PFC 对受影响的系统进行了清除和重建，并增强了网络安全性。同时，他们已审查了网络安全政策和程序，以及存储和管理数据的方式。

Eye Care Leaders 疫情扩大影响

最近，Eye Care Leaders 的数据泄露事故又新增了至少五个医疗机构及 241553 名患者。受影响的医疗机构包括： Carolina Eyecare Physicians68739 名患者 Kernersville Eye Surgeons13412 名患者 Mattax Neu Prater Eye Center92361 名患者 Alabama Eye amp Cataract26000 名患者 Center for Sight41041 名患者

因此，整体受影响人数已达到 289 万。

ECL 事件发生在 2021 年 12 月 4 日，攻击者删除了数据库和系统配置文件。这次攻击使部分提供商的 EMR 系统出现为期一周的停机。

调查从未在 4 月 19 日之前结束，这可能解释了为什么医疗提供商直到 4 月或 5 月才被通知此事件的发生。调查未能提供必要的法医证据，无法排除攻击者访问受保护健康信息或个人身份信息的可能性。

部分提供商的通知显示，在攻击发生之前，ECL 已为其数据实施了加密层，但未能对患者信息本身进行加密。ECL 随后承诺将来会加密患者信息。许多客户因安全担忧正在评估与该供应商的合同，也有些人取消了与 ECL 的合作关系。

ECL 目前正在应对一场由医疗提供商发起的诉讼，该诉讼指控该供应商隐瞒了 4 月、6 月和 8 月的多次勒索攻击以及客户的多周停用。法庭文件显示，双方目前正在评估和解的可能性。

Family Practice Center 开始通知患者关于 2021 年 10 月的泄露事件

位于宾夕法尼亚的 Family Practice Center 现在开始通知 83969 名患者，他们的数据在 2021 年 10 月的一次未遂网络攻击中被访问。这次攻击未成功，FPC 在事件发生期间能够继续治疗患者。

通知中解释称，延迟通知是由于长时间的调查，调查于 2022 年 5 月 21 日结束。然而，根据《健康保险可携带性与责任法案》，所有影响超过 500 名患者的数据泄露必须在发现后 60 天内报告，而不是在调查结束时。

FPC 的调查确认攻击者在黑客攻击期间访问了文件，其中包括患者数据，如姓名、联系方式、医疗保险信息、治疗记录等。部分患者的社会安全号码也涉及在内。

患者的医疗记录未受到