据国外媒体报道,一家处理数百万个人健康信息账户的公司HealthEquity遭到攻击,23000名用户的个人信息被泄漏。
事件发生于今年4月11日,HealthEquity一名员工的电子邮件账户被未经授权的人员访问,两天之后,这一问题才被发现,该公司赶紧删除了这个邮箱。作为对这一事件的回应,HealthEquity公司会提供五年的信用监控和身份失窃保护。
有报告显示,通过HealthEquity员工邮件账户泄漏的信息不仅包括用户的姓名,还有他们的HealthEquity会员ID,及其雇主的HealthEquity ID,另外,在这些信息中还有医保账号、社会安全号码等等。
在6月11日发布的一篇研究报告Healthcare Hacking Trends on the Dark Web中,在暗网黑市上发布、销售、购买个人的健康信息的情况已经呈现泛滥的趋势。由于存储在这类公司中的信息具有极高价值,所以医疗保健行业遭受的网络攻击与日俱增。受影响的人面临的最大风险是身份被盗,其次就是遭受钓鱼攻击,或遭到各种医保诈骗、信用欺诈等,从而蒙受更多、更大的损失。
HealthEquity应该意识到这一事实,所以在回应中除了提供信用监控之外,还提供身份盗用监控保护服务。
从这一事件中也可以看出,医疗机构内部一定要在身份准入方面有更安全的措施,比如采用多因素身份认证,在静态密码的基础上,建立多层次的防御,从而防止密码被盗导致的安全风险,确保合法可信的人进入对应系统。而对于个人用户,由于也面临身份盗用的风险,所以一方面应该赶紧修改重要账户的密码,另一方面,如有可能,也尽量采用多因素身份认证或AI行为识别身份认证,切实保障自己的账户安全。