在一個出名的黑客論壇上有攻擊者泄露了美國超過 6000 名患者高度敏感的健康保險數(shù)據(jù)的數(shù)據(jù)庫,。

　　攻擊者聲稱這些數(shù)據(jù)是從美國保險巨頭 Humana 處竊取的,，包括該公司健康計劃內(nèi)客戶可追溯到 2019 年的詳細醫(yī)療記錄。被泄露的信息包括患者姓名,、ID,、電子郵件地址、密碼哈希,、醫(yī)療數(shù)據(jù)等信息,。

　　數(shù)據(jù)泄露發(fā)生在美國第三大健康保險公司 Humana 通知其 65000 名健康計劃成員存在安全漏洞四個月后,。

　　2020 年 10 月 12 日左右，承包商的員工向未經(jīng)授權的人提供了醫(yī)療記錄,。

　　2020 年 12 月 16 日,，受數(shù)據(jù)泄露影響的一名患者向 Humana 提起訴訟。

　　Humana 確認被泄露的數(shù)據(jù)屬于該公司,。已經(jīng)下載了該數(shù)據(jù)的論壇用戶表示,，數(shù)據(jù)并不向攻擊者所說是 2019 年的數(shù)據(jù)，而是 2020 年的數(shù)據(jù),。如果這一信息屬實的話,，被泄露的數(shù)據(jù)可能是 2020 年的攻擊中被泄露的一部分。

　　而攻擊者提供證明的部分數(shù)據(jù)大多都是 2019 年的,，可能另有來路,，不是同一批。

　　泄露了什么

　　泄露的 SQL 數(shù)據(jù)庫包含超過 82 萬行數(shù)據(jù),，一共 97 個表,。其中一些表存儲了 6487 個美國人的醫(yī)療數(shù)據(jù)，包括全名,、患者 ID,、電子郵件地址、帶有郵政編碼的街道地址,、密碼哈希,、隱私政策確認狀態(tài)、醫(yī)療保險計劃,、醫(yī)療數(shù)據(jù),、與患者有關的圖片與視頻（X 射線、CT 掃描,、保險文件掃描等）,。

　　此外，該數(shù)據(jù)庫似乎還包含其他 API 調(diào)用的私有密鑰,。攻擊者可以使用這些 API 密鑰訪問 Humana 或其他合作伙伴的在線服務,。

　　影響范圍

　　7 月 16 日，SQL 數(shù)據(jù)庫通過 WeTransfer 免費對外公開了,。尚不知道有多少人已經(jīng)得到了這些數(shù)據(jù),，而 WeTransfer 已經(jīng)獲悉了此事，不日就會刪除托管的數(shù)據(jù)庫,。

　　由于該數(shù)據(jù)庫包含大量高度敏感的個人信息,，攻擊者利用這些信息能夠做很多事情。例如：

　　發(fā)起魚叉郵件/垃圾郵件

　　進行欺詐性保險索賠

　　使用受害者的健康保險

　　對患者進行勒索

　　進行身份竊取

　　如果您是 Humana 的客戶,，醫(yī)療數(shù)據(jù)就有可能被泄露,。