近日,美國大型醫療保險商CareFirst表示,該公司去年六月發現有黑客入侵,約有110萬醫療保險客戶的個人信息遭泄露。
保險公司被黑
BlueCross BlueShield(BCBS)是一個聯邦醫療保險服務商,服務美國近三分之一的人口。CareFirst BCBS大西洋中部的子公司,在哥倫比亞特區、馬里蘭州和維吉尼亞州爲客戶提供健康保險。
CareFirst在其網站發出通告,CEO Chet Burrell親自現身:
“證據顯示公司或成水平極高的專業黑客攻擊目標。攻擊者可能竊取了客戶姓名、生日、郵箱地址、醫療保險號碼等信息。雖然CareFirst用戶名必須與創建的密碼同時使用才能得到訪問數據的權限,而黑客並沒有攻擊這些密碼的數據庫。因此這次出現問題的數據中不包括社安號碼、信用卡號碼、工作信息、客戶病歷等更爲重要的信息。”
據悉,此次數據泄露可以追溯到2014年6月20日,由Mandiant安全公司的專家發現,現成爲了美國境內該類型網絡攻擊規模第三大的事件。而CareFirst此次數據泄露時隔近一年才被披露,是因爲CareFirst他們發現最初的攻擊時,他們試圖控制了攻擊,並且他們以爲自己做到了。
此前Premera Blue Cross公司宣佈2014年有1100萬客戶的醫療和財務數據被泄露。無獨有偶,Anthem去年4月8000萬社會保險卡數據被盜。據Ponemon研究所最近研究表明,從網絡攻擊到數據泄露,每年安全事故耗費(美國)醫療部門多達60億美元。
影響範圍
2014年6月20日之前在CareFirst網站註冊過的用戶、約有110萬客戶的個人信息可能被泄漏都將受到此次攻擊的影響。
廠商迴應
CareFirst已經停用所有可能受到影響的賬戶,並要求客戶爲這些受影響的賬戶重新設置用戶名和密碼。此外,所有受到影響的客戶會收到一個補償計劃,該計劃在未來兩年內將爲客戶免費監查個人信用分數和提供身份保護。
CareFirst表示用戶將收到與服務有關的個性化密碼的信。同時他們警告客戶要小心來自電話、郵件或者社交媒體等方式對此次攻擊情況的資訊或信息打探,因爲CareFirst公司並沒有使用這些渠道。
專家點評
昂楷科技信息安全資深顧問Henry表示:
“這是繼Premera和Anthem之後的第三大數據泄露事件。這三個事件中的共同點就是攻擊在被發現之前已經發生了很久。這點非常令人不安……如果你不能預防攻擊,同樣你也無法探測出一個攻擊,你會面臨很嚴重的問題。
目前看來醫療保險行業存在非常大的問題,醫療行業必須覺醒同時意識到他們正在面臨與金融服務行業相同的威脅。及時發現數據庫危機,採取有效的解決機制是十分必要的。數據庫審計系統爲數據庫提供全方位安全保護,任何對數據庫的攻擊都會在第一時間被發現並被及時告警,醫療行業等相關行業數據安全問題不容忽略。”