在一個出名的黑客論壇上有攻擊者泄露了美國超過 6000 名患者高度敏感的健康保險數(shù)據(jù)的數(shù)據(jù)庫。

　　攻擊者聲稱這些數(shù)據(jù)是從美國保險巨頭 Humana 處竊取的，包括該公司健康計劃內(nèi)客戶可追溯到 2019 年的詳細醫(yī)療記錄。被泄露的信息包括患者姓名、ID、電子郵件地址、密碼哈希、醫(yī)療數(shù)據(jù)等信息。

　　數(shù)據(jù)泄露發(fā)生在美國第三大健康保險公司 Humana 通知其 65000 名健康計劃成員存在安全漏洞四個月后。

　　2020 年 10 月 12 日左右，承包商的員工向未經(jīng)授權(quán)的人提供了醫(yī)療記錄。

　　2020 年 12 月 16 日，受數(shù)據(jù)泄露影響的一名患者向 Humana 提起訴訟。

　　Humana 確認被泄露的數(shù)據(jù)屬于該公司。已經(jīng)下載了該數(shù)據(jù)的論壇用戶表示，數(shù)據(jù)并不向攻擊者所說是 2019 年的數(shù)據(jù)，而是 2020 年的數(shù)據(jù)。如果這一信息屬實的話，被泄露的數(shù)據(jù)可能是 2020 年的攻擊中被泄露的一部分。

　　而攻擊者提供證明的部分?jǐn)?shù)據(jù)大多都是 2019 年的，可能另有來路，不是同一批。

　　泄露了什么

　　泄露的 SQL 數(shù)據(jù)庫包含超過 82 萬行數(shù)據(jù)，一共 97 個表。其中一些表存儲了 6487 個美國人的醫(yī)療數(shù)據(jù)，包括全名、患者 ID、電子郵件地址、帶有郵政編碼的街道地址、密碼哈希、隱私政策確認狀態(tài)、醫(yī)療保險計劃、醫(yī)療數(shù)據(jù)、與患者有關(guān)的圖片與視頻（X 射線、CT 掃描、保險文件掃描等）。

　　此外，該數(shù)據(jù)庫似乎還包含其他 API 調(diào)用的私有密鑰。攻擊者可以使用這些 API 密鑰訪問 Humana 或其他合作伙伴的在線服務(wù)。

　　影響范圍

　　7 月 16 日，SQL 數(shù)據(jù)庫通過 WeTransfer 免費對外公開了。尚不知道有多少人已經(jīng)得到了這些數(shù)據(jù)，而 WeTransfer 已經(jīng)獲悉了此事，不日就會刪除托管的數(shù)據(jù)庫。

　　由于該數(shù)據(jù)庫包含大量高度敏感的個人信息，攻擊者利用這些信息能夠做很多事情。例如：

　　發(fā)起魚叉郵件/垃圾郵件

　　進行欺詐性保險索賠

　　使用受害者的健康保險

　　對患者進行勒索

　　進行身份竊取

　　如果您是 Humana 的客戶，醫(yī)療數(shù)據(jù)就有可能被泄露。