随着医疗保健组织继续成为网络钓鱼事件的受害者,受涉及电子邮件帐户泄露的健康数据泄露影响的人数继续上升。
最近向联邦监管机构报告的与网络钓鱼有关的明显事件包括:位于马里兰州贝塞斯达的高级骨科中心、位于伊利诺伊州锡安市中西部地区医疗中心的美国癌症治疗中心以及位于得克萨斯州艾迪生的BW Homecare Holdings的违规行为,该公司的业务是名字叫埃拉拉。这三个漏洞分别影响了10万多个人。
截至周一,卫生与公众服务部的HIPAA违规报告工具网站今年迄今已新增125项重大健康数据违规事件,涉及约940万人。在其中46起事件中,共有240万人受到影响,其中“电子邮件”被报告为违规行为的“地点”——但其他一些事件也可能涉及电子邮件事件,包括网络钓鱼。
总部位于纽约的美国麻醉学公司1月8日报道了今年以来在HHS网站上发布的最大规模的网络钓鱼事件,影响了近130万人。
美国麻醉学公司在一份违规通知声明中称,在2020年7月16日,该公司接到通知称,一个未经授权的方通过网络钓鱼攻击获得了对一个商业伙伴的Microsoft Office 365托管电子邮件上几个电子邮件帐户的访问权限。
高级骨科中心
高级骨科中心在3月25日报告了一个影响超过125000人的电子邮件黑客事件。
在违规通知中,CAO表示,在2020年9月17日,它发现了其电子邮件环境中的异常活动,并确定在2019年10月至2020年9月期间,多个员工电子邮件帐户受到未经授权的访问。
CAO表示,某些电子邮件“因此被责任网络罪犯访问”在这一发现之后,曹先生开展了广泛而彻底的数据挖掘工作,以确定可能受影响的个人。”
1月25日,CAO确定PHI包含在网络罪犯可访问的电子邮件中。通知说,个人的PHI值各不相同,组织无法确认这些数据是否被入侵者实际访问或获取。
声明说,受影响的个人包括CAO患者、员工及其家属。对于大多数员工和家属来说,可能受到损害的个人信息包括出生日期、医疗诊断和治疗信息、社会保险号码和驾驶证号码。然而,对于一部分员工和家属来说,可访问的数据还可能包括护照号码、金融账户信息、支付卡信息以及电子邮件/用户名和密码。
患者数据可能泄露包括医疗诊断和治疗信息以及出生日期。然而,对于一部分患者,可访问的PHI还包括社会安全号码、驾驶证号码、护照号码、金融账户信息、支付卡信息以及电子邮件/用户名和密码。
美国癌症治疗中心
美国中西部地区医疗中心的癌症治疗中心于3月19日向卫生和公众服务部报告了一起电子邮件黑客事件,影响了近105000人。
CTCA在1月18日发布的违规通知声明中称,该公司确认了一名CTCA账户持有人的电子邮件账户存在可疑活动。调查确定,在1月12日至1月18日期间,未经授权的用户有可能访问电子邮件帐户中的信息。
CTCA说:“账户持有人的密码被迅速更改,以前的电子邮件凭证不能再用于访问电子邮件账户。”但该组织无法排除未经授权进入的可能性。通知说,受影响邮箱中的信息可能包括患者姓名、病历号、医疗保险信息、CTCA账号和有限的医疗信息。
Elara爱心商务邮件
家庭护理提供商ElaraCaring在2月24日向卫生和公众服务部报告了一起影响超过10万人的电子邮件黑客事件。
ElaraCaring在其通知声明中说,它是一个商业电子邮件泄露计划的受害者。
声明指出:“2020年12月9日,一个已知的外部实体向两名Elara员工发送了一封钓鱼邮件。”入侵者随后进入了数量有限的Elara员工电子邮件账户,并从两个账户发送了额外的钓鱼电子邮件。
在得知未经授权的访问后,Elara Caring说,他们会立即更改密码,在确认账户后拒绝入侵者的访问。”事件的控制在12月16日完成。“这一犯罪活动已向联邦调查局报告,”声明指出。
该组织称正在采取措施防止类似事件再次发生。这包括完成企业范围内的密码更改,并对其系统的所有用户实施多因素身份验证。
“此外,Elara Caring还对员工进行了强化安全培训,以更好地发现和防止网络钓鱼欺诈,”该公司的通知声明说。
【参考来源:inforisktoday】