UnitedHealth Group
美国卫生及公共服务部(HHS)的民权办公室(OCR)上周更新了健康资讯外泄列表,显示出今年2月遭骇的Change Healthcare所外泄的用户资料高达1亿笔,成为美国医疗领域最严重的资料外泄事件。
图片撷取自美国卫生及公共服务部(HHS)网站
Change Healthcare是美国健康保险集团UnitedHealth Group子公司Optum所买下的医疗服务供应商,主要提供医疗业者的收入周期管理、支付管理,以及健康资讯交换解决方案,每年处理150亿笔的医疗照护交易,涉及1/3的美国病患纪录。
该公司在今年2月遭到勒索软体BlackCat的攻击,骇客利用窃来的凭证入侵了Change Healthcare的Citrix远端存取服务,盗走了6GB的资料,也加密了Change Healthcare系统。随后Change Healthcare并未说明外泄的笔数,仅说使用者的健康资讯、健保资讯、支付资讯,或是社会安全码与驾照号码等资讯外泄了。
UnitedHealth Group在今年5月坦承支付赎金予骇客,惟并未证实金额是否为外传的2,200万美元。
然而,根据BleepingComputer的报导,BlackCat在收到赎金之后,忽然关闭了,而且将赎金据为己有,并未分配给合作伙伴,但此一合作伙伴依然握有Change Healthcare的机密资料,并再度向该公司勒索,而母公司UnitedHealth很可能支付了第二次的赎金。
UnitedHealth今年4月公布第一季财报时,编列了8.72亿美元的网路攻击成本,其中有5.93亿美元属于直接回应攻击成本,另外的2.79亿美元则是因攻击所招致的业务损失,并估计总成本将超过10亿美元;而在UnitedHealth今年第3季的财报中,列出了该攻击对该公司今年前9个月的影响,显示相关成本已超过24.5亿美元。