Tin tặc thu thập và rao bán dữ liệu bệnh nhân từ HCA Healthcare

Nhà cung cấp dịch vụ chăm sóc sức khỏe HCA Healthcare đã báo cáo một vụ vi phạm dữ liệu trong đó thông tin bệnh nhân đã bị xâm phạm và hiện đang được lưu hành tự do giữa các tin tặc. Bộ dữ liệu được thu thập chứa khoảng 27 triệu hàng dữ liệu, bao gồm thông tin cá nhân của bệnh nhân và hồ sơ thăm khám cụ thể. Cuộc tấn công mạng này tác động đến các cá nhân trên gần 24 tiểu bang, bao gồm cả bệnh nhân từ nhiều cơ sở ở Florida và Texas.

Một công ty nổi tiếng của Hoa Kỳ, HCA, đã xác nhận vi phạm và cảnh báo các cá nhân bị ảnh hưởng. Dữ liệu bị xâm phạm bao gồm các chi tiết nhạy cảm, chẳng hạn như tên đầy đủ của bệnh nhân, vị trí (thành phố) và thông tin về lần khám nhà cung cấp gần đây nhất của họ, bao gồm cả ngày và địa điểm. Vi phạm này đã làm dấy lên mối lo ngại về tính bảo mật của dữ liệu cá nhân trong một trong những tổ chức chăm sóc sức khỏe lớn nhất của đất nước.

Không có dữ liệu lâm sàng nào bị rò rỉ

Trái ngược với tuyên bố của nhà cung cấp rằng không có thông tin lâm sàng nào bị xâm phạm, một báo cáo gần đây từ DataBreaches.net đã làm dấy lên nghi ngờ về mức độ vi phạm. Báo cáo tiết lộ rằng nhóm hack giấu tên đã cung cấp cho họ một bộ dữ liệu mẫu liên quan đến đánh giá bệnh ung thư phổi của bệnh nhân. Điều này mâu thuẫn với khẳng định của HCA rằng không có thông tin sức khỏe quan trọng hoặc được bảo vệ nào được truy cập.

Vi phạm đã ảnh hưởng đến bệnh nhân trên khoảng hai chục tiểu bang, bao gồm nhiều cơ sở chăm sóc sức khỏe ở Florida và Texas. Việc bán dữ liệu đã thu hút sự chú ý trên Twitter, với Brett Callow, một nhà phân tích tại Emsisoft, nhấn mạnh tầm quan trọng tiềm năng của nó. Callow gợi ý rằng mặc dù vi phạm này có thể là một trong những vi phạm lớn nhất trong lĩnh vực chăm sóc sức khỏe, nhưng nó có thể không gây rủi ro đáng kể như những vi phạm khác vì tuyên bố của HCA chỉ ra rằng nó không ảnh hưởng đến chẩn đoán hoặc thông tin liên quan đến y tế khác.

Vẫn là một mối đe dọa, mặc dù

Theo Brett Callow, các tin tặc chịu trách nhiệm về vụ vi phạm đã tuyên bố rằng họ sở hữu "email có chẩn đoán sức khỏe tương ứng với ID khách hàng." Tiết lộ này làm dấy lên mối lo ngại về khả năng bị lộ thông tin y tế nhạy cảm. Mặc dù các vi phạm dữ liệu bệnh nhân không may đã trở nên phổ biến nhưng mức độ nghiêm trọng và hậu quả có thể khác nhau đáng kể. Trong trường hợp HCA vi phạm, các hồ sơ y tế quan trọng không bị xâm phạm.

Công ty đã làm rõ rằng dữ liệu bị vi phạm có nguồn gốc từ "vị trí lưu trữ bên ngoài được sử dụng riêng để tự động hóa định dạng email". Điều đó cho thấy vi phạm có thể chưa nhắm mục tiêu trực tiếp vào các hệ thống hồ sơ y tế cốt lõi hoặc chứa thông tin bệnh nhân toàn diện. Tuy nhiên, tình hình vẫn đảm bảo điều tra kỹ lưỡng và cảnh giác để bảo vệ sự riêng tư và an ninh của bệnh nhân.

Tin tặc thu thập và rao bán dữ liệu bệnh nhân từ HCA Healthcare ảnh chụp màn hình