最近多家医疗机构遭遇数据泄露事件

关键要点

本周，与2021年11月针对Adelanto HealthCareVentures的钓鱼攻击相关的至少八个数据泄露通知陆续发布。位于休斯顿的圣吕克医院在2022年10月首次报告了同一事件。

Adelanto HealthCareVentures（AHCV）是一家为医疗业务合作伙伴提供索赔数据的咨询公司。在2021年11月5日，经过一次成功的钓鱼攻击，两个员工的电子邮件账户被黑客入侵。根据一份提供者通知，最初并没有发现受影响的保护健康信息（PHI）。

但在2022年8月19日的进一步法医分析中确认，PHI确实受到影响。后续调查发现，泄露的电子邮件包含提供者姓名、患者年龄、患者账户号码、入院和出院日期、保险公司及余额信息。未有社会安全号码或财务数据受到影响。

本周，以下医疗机构报道受到了此次事件影响：、、、、南德克萨斯健康系统、拉雷多医生医院、福特邓肯地区医疗中心以及。

虽然通知是在安全事件首次发现18个月后发出的，但AHCV直到2022年8月19日才发现PHI受到影响。

之所以迟迟未报告患者数据影响，实在难以解释，尤其是与《健康保险携带与问责法案》规定的60天内通报要求相悖。曾多次警告，通知应在发现后的60天内发出，而并非在调查结束后。

最近，来自的消息显示，因使用追踪工具而意外泄露了54,396名患者的数据。此类工具持续成了医疗提供者泄露健康数据的一大隐患。

NYP利用这些工具来分析网站访客的交互，以便优化外部沟通和社区参与，并让患者更容易访问个性化护理选项。然而，这也导致了患者数据的不当泄露。

发现问题后，NYP立即禁用追踪器并进行数据分析，以确定被暴露的数据具体内容。法医分析确认，泄露数据包括请求预约或第二意见的患者信息，甚至在虚拟急诊护理访问中也涉及。

数据泄露还包括IP地址、访问的网址、提供者姓名、专业、完整的患者姓名、联系方式和性别（如果患者在特定网页上输入了这些数据）。这些数据被分享给了第三方技术服务提供商。

调查未发现像素追踪工具捕获任何财务信息、密码、社会安全号码或其他敏感健康数据，也未影响患者门户或移动应用中的医疗记录。

NYP之后重新评估并改变了数据收集方式，并制定了监控网站参与度的协议。

最近，针对94,000多名患者的通知表明，1月9日针对该提供者网络的勒索软件攻击使得攻击者能够访问包含患者健康信息的某些文件。

值得注意的是，法医调查