超 800 万条美国患者数据记录遭泄露

admin

142744
文章

117
评论

2025年6月4日20:51:43评论11 views字数 1618阅读5分23秒阅读模式

点击上方蓝字关注我们

最近，研究人员发现了一起大规模的数据泄露事件，此次事件涉及美国公民的医疗数据。大约有 270 万份患者档案和 880 万条预约记录被完全暴露，任何知晓数据所在位置的人都可以轻易访问到这些信息。

这起数据泄露事件是由一个未受保护的 MongoDB 数据库所导致。虽然数据所有者尚未得到官方确认，但从数据库中挖掘出的线索指向了牙科营销公司 Gargle。Gargle 公司专门为牙科诊所提供营销、搜索引擎优化（SEO）以及网站开发等服务。尽管它本身并非医疗服务提供商，但其商业模式依赖于处理面向患者的基础设施，在此次事件中，很可能还涉及到了患者数据的处理。

目前，仍不清楚该数据库暴露了多长时间，以及在数据库被锁定之前究竟有哪些人可能访问过这些数据。在 Cybernews 将数据泄露一事告知该公司后，相关数据集已得到了妥善保护。不过，截至目前，Gargle 公司尚未对此事发表任何评论。

泄露的数据有哪些？

此次泄露的数据包含以下内容：

姓名
出生日期
电子邮件
地址
电话号码
性别
病历编号
语言偏好
账单详情
带有患者元数据、时间戳以及机构参考信息的预约记录

数据是如何泄露的？

MongoDB 数据库为成千上万的现代网络应用程序提供支持，涵盖从电子商务平台到医疗保健门户网站等多个领域。在此次事件中，数据泄露很可能源于一个常见但又经常被忽视的漏洞 —— 由于人为失误，数据库在没有适当身份验证的情况下被暴露在外。

研究表明，这是一个反复出现的盲点，一直困扰着各个规模和行业的公司。

Gargle 公司在其网站上强调，他们致力于设计经过搜索引擎优化的网站，通过鼓励用户进行预约来提高用户转化率。此外，该公司还提供实时预约安排、患者沟通、支付处理以及在线表单提交等功能的集成服务。然而，如果这些关键服务没有进行安全配置，就有可能成为攻击者的切入点。很有可能，此次被泄露的医疗数据正是从与这些第三方服务相关的内部基础设施中流出的。

泄露的医疗数据可能会被如何利用？

此次泄露的数据集中包含了属于美国患者的极其敏感的信息，如已验证的手机号码、家庭住址、账单分类以及机构 ID 等。单独来看，这些数据点中的任何一个可能看起来并没有太大的危害。但当它们被整合在一起时，就构成了一个人身份的完整蓝图。

这种类型的数据为各种滥用行为打开了大门。其中，身份盗窃是最容易实现的，攻击者可以通过冒充受害者来获取经济利益。

当涉及到医疗数据时，风险就变得更加严重。威胁行为者可以利用这些信息进行保险欺诈或医疗身份盗窃。此外，受害者还容易受到精心策划的网络钓鱼和社会工程攻击。

如此大规模的数据泄露事件引发了人们对是否遵守《健康保险流通与责任法案》（HIPAA）的严重质疑。根据该法案的规定，处理患者数据的公司在法律上有义务采取严格的保护措施来确保数据的安全。

接下来该采取哪些措施？

涉事公司应按照 HIPAA 的要求，通知受影响的个人，并公开披露此次事件。
如果你最近曾有过牙科预约，并且怀疑自己的数据可能受到了此次泄露事件的影响，那么请保持警惕，防范网络钓鱼攻击。尤其要对任何提及医疗服务提供商或医疗历史的未经请求的电子邮件保持谨慎态度。
密切关注你的医疗和保险记录，留意是否存在未经授权的索赔或活动。
考虑注册身份盗窃监控服务。