醫療科技巨頭 CareCloud 確認,黑客在本月早些時候的數據洩露事件中,獲得了對其一個患者電子健康記錄存儲庫的訪問權限。根據上周五向美國證券交易委員會(SEC)提交的報告,該公司在 3 月 16 日檢測到對其六個儲存患者醫療和健康記錄的環境之一的未經授權訪問。根據公司所述,黑客在這個醫療記錄存儲庫中訪問了超過八小時,但尚不清楚是否有數據被竊取,或被竊取的數據類型。
CareCloud 表示,經過當天的系統恢復後,黑客已不再在其網絡中,並已邀請一家未具名的網絡安全公司進行調查。至於此次洩露事件影響了多少人,CareCloud 並未透露具體數字。根據該公司在 3 月向投資者提交的年度報告,CareCloud 為超過 45,000 名醫療服務提供者,包括數千家醫院和診所的醫生,提供電子健康記錄存儲服務,覆蓋了數百萬患者。
電子健康記錄提供商通常是財務驅動的網絡犯罪分子的目標,因為他們會竊取個人數據並要求贖金以不公開這些數據。2024 年,俄羅斯網絡犯罪分子在對 Change Healthcare 的勒索攻擊中竊取了美國大部分的健康記錄,導致了大規模的系統故障和數月的醫療延誤。目前尚不清楚近期對 CareCloud 的網絡攻擊是否導致了任何數據損毀,或黑客是否與該公司聯繫提出要求。
CareCloud 的發言人未對媒體的置評請求作出回應。媒體也詢問了 CareCloud 如何存儲患者數據,例如該公司是否在其六個環境中存儲患者數據,或是否有些環境是備份其他環境的數據。如果收到回應,將會進一步更新相關信息。根據 CareCloud 的公開互聯網記錄,該公司的許多文件和數據均托管於 Amazon Web Services。
CareCloud 在其 SEC 披露中表示,經過調查,該事件被認定為對其業務有重大影響,因此有法律義務通知投資者。CareCloud 指出,此次洩露事件不太可能影響公司的財務狀況,但承認調查仍在進行中。
這次事件引發了對 CareCloud 數據安全措施的關注,業界期待該公司能夠完善其安全策略,以防未來再次發生類似事件。
