在某知名黑客论坛上,一名攻击者泄露了美国6000多名患者的高度敏感健康保险数据数据库。攻击者声称这些数据是从美国保险巨头Humana窃取的,其中包括可追溯到2019年的公司健康计划中客户的详细医疗记录。泄露的信息包括患者姓名、ID、电子邮件地址、密码哈希、医疗数据和更多的。数据泄露发生在美国第三大健康保险公司Humana通知其65,000名健康计划成员存在安全漏洞四个月后。2020年10月12日前后,承包商员工向未经授权的人员提供了医疗记录。2020年12月16日,一名受数据泄露影响的患者对Humana提起诉讼。Humana证实泄露的数据属于该公司。下载过数据的论坛用户表示,数据并没有告诉攻击者这是2019年的数据,而是2020年的数据。如果此信息属实,则被泄露的数据可能是2020年数据泄露的一部分。提供的大部分数据bytheattacker是2019年的,可能来自其他来源,不是同一批次。泄漏了什么泄漏的SQL数据库包含97个表中的820,000多行数据。其中一些表存储了6,487名美国人的医疗数据,包括全名、患者ID、电子邮件地址、带邮政编码的街道地址、密码哈希、隐私政策确认状态、健康保险计划、医疗数据以及与患者相关的图片和视频(X-射线、CT扫描、保险文件扫描等)。此外,该数据库似乎包含其他API调用的私钥。攻击者可以使用这些API密钥访问Humana或其他合作伙伴在线服务。影响范围7月16日,SQL数据库通过WeTransfer向公众免费开放。目前尚不清楚有多少人获得了这些数据,但WeTransfer已获悉此事并将在近期删除托管数据库。由于数据库包含大量高度敏感的个人信息,攻击者可以利用这些信息做很多事情。示例包括:发起鱼叉邮件/垃圾邮件进行欺诈性保险索赔使用受害者的健康保险勒索患者身份盗用如果您是Humana客户,医疗数据将面临风险。
