在一個出名的黑客論壇上有攻擊者泄露了美國超過 6000 名患者高度敏感的健康保險數據的數據庫,。

　　攻擊者聲稱這些數據是從美國保險巨頭 Humana 處竊取的，包括該公司健康計劃內客戶可追溯到 2019 年的詳細醫(yī)療記錄,。被泄露的信息包括患者姓名,、ID、電子郵件地址,、密碼哈希,、醫(yī)療數據等信息。

　　數據泄露發(fā)生在美國第三大健康保險公司 Humana 通知其 65000 名健康計劃成員存在安全漏洞四個月后,。

　　2020 年 10 月 12 日左右,，承包商的員工向未經授權的人提供了醫(yī)療記錄。

　　2020 年 12 月 16 日,，受數據泄露影響的一名患者向 Humana 提起訴訟,。

　　Humana 確認被泄露的數據屬于該公司。已經下載了該數據的論壇用戶表示,，數據并不向攻擊者所說是 2019 年的數據,，而是 2020 年的數據。如果這一信息屬實的話,，被泄露的數據可能是 2020 年的攻擊中被泄露的一部分,。

　　而攻擊者提供證明的部分數據大多都是 2019 年的，可能另有來路,，不是同一批,。

　　泄露了什么

　　泄露的 SQL 數據庫包含超過 82 萬行數據，一共 97 個表,。其中一些表存儲了 6487 個美國人的醫(yī)療數據,，包括全名、患者 ID,、電子郵件地址,、帶有郵政編碼的街道地址、密碼哈希,、隱私政策確認狀態(tài),、醫(yī)療保險計劃,、醫(yī)療數據、與患者有關的圖片與視頻（X 射線,、CT 掃描,、保險文件掃描等）。

　　此外,，該數據庫似乎還包含其他 API 調用的私有密鑰,。攻擊者可以使用這些 API 密鑰訪問 Humana 或其他合作伙伴的在線服務。

　　影響范圍

　　7 月 16 日,，SQL 數據庫通過 WeTransfer 免費對外公開了,。尚不知道有多少人已經得到了這些數據，而 WeTransfer 已經獲悉了此事,，不日就會刪除托管的數據庫,。

　　由于該數據庫包含大量高度敏感的個人信息，攻擊者利用這些信息能夠做很多事情,。例如：

　　發(fā)起魚叉郵件/垃圾郵件

　　進行欺詐性保險索賠

　　使用受害者的健康保險

　　對患者進行勒索

　　進行身份竊取

　　如果您是 Humana 的客戶,，醫(yī)療數據就有可能被泄露。