远程医疗巨头Hims遭遇数据泄露,医疗记录外泄
远程医疗公司Hims & Hers Health已确认发生一起数据泄露事件,导致企业所能持有的最敏感类别个人信息之一——受保护健康信息(PHI)遭到暴露。此次泄露事件的起因是威胁行为者未经授权访问了该公司所使用的一个第三方客户支持平台。泄露数据包含客户支持工单中的信息,在远程医疗的背景下,这意味着与处方、医疗咨询及个人健康状况相关的详细内容均遭到泄露。
黑客组织ShinyHunters已声称对此次攻击负责。该组织在网络安全领域以大规模数据窃取行动而广为人知,近年来已与多起备受瞩目的数据泄露事件存在关联。其参与此次攻击立即引发了外界对被盗数据后续走向的担忧,包括可能被用于勒索、在暗网市场转售,或针对受影响用户发动定向网络钓鱼攻击。
为何第三方供应商是医疗安全的薄弱环节
此次泄露事件中一个最为关键的细节在于事件发生的地点:并非在Hims的核心基础设施内部,而是通过一个第三方客户支持平台。这一模式正变得越来越普遍,其后果也越来越严重。
大型企业通常将客户支持、账单处理和数据存储等职能外包给专业供应商。每一家供应商都成为企业攻击面的延伸。当用户注册某项远程医疗服务时,他们不仅是在信任该公司会妥善保管自己的数据,同时也在信任该公司合作的每一家供应商、承包商和软件服务提供商。
这在医疗行业尤为突出。根据美国法律,处理PHI的企业须确保其业务合作伙伴和供应商符合HIPAA合规标准。然而,书面上的合规并不总能转化为现实中切实有效的安全防护。像Hims这样资源雄厚的公司可以在自身防御上大量投入,却仍可能因为安全管控较弱的供应商而暴露于风险之中。
Hims泄露事件并非孤立案例。医疗和远程医疗公司已成为主要攻击目标,原因正是其所持有的数据极具价值。医疗记录在黑市上的售价远高于信用卡信息,因为其中包含的信息无法轻易更改,且可被用于保险欺诈、身份盗窃和定向社会工程学攻击。
这对您意味着什么
如果您是Hims或Hims & Hers的客户,您应当认定通过客户支持渠道分享的信息可能已遭泄露。这可能包括您的姓名、联系方式,以及您与支持团队交流时涉及的医疗咨询或处方详情。
从更宏观的角度来看,此次泄露事件有力提醒了人们将敏感个人信息存储于集中式系统所带来的风险。远程医疗平台以便捷性为核心构建,而这种便捷性往往意味着以集中整合您的健康数据的方式运作,从而为攻击者创造了极具吸引力的目标。一家公司持有的数据越多,与之共享数据的供应商越多,一旦出现问题,潜在的损害波及范围就越大。
这并不意味着您应该避免使用远程医疗服务。对许多人来说,这些服务提供了获得医疗保障的途径,否则这些保障将难以获得或费用高昂。但这确实意味着您应当谨慎考虑在任何数字健康平台上分享哪些信息,包括通过支持工单和聊天功能分享的内容——这些信息可能被存储和处理于公司主系统之外。
健康数据泄露后的应对措施
如果您使用Hims & Hers或类似的远程医疗平台,以下是一些值得立即采取的具体措施:
- 警惕网络钓鱼攻击。 获取健康相关数据的攻击者往往会利用这些信息精心设计极具欺骗性的钓鱼信息。对任何提及您的健康状况、药物或与平台过往互动记录的非主动联系邮件或消息保持高度警惕。
- 检查您的账户。 查看您的Hims账户及任何关联支付方式是否存在异常活动。如发现任何可疑情况,请同时向平台和您的金融机构报告。
- 关注身份欺诈风险。 医疗身份盗窃——即他人利用您的信息欺诈性地获取处方或保险福利——往往难以察觉。考虑向主要信用机构提交欺诈警报,并监控您的保险账单,留意您未曾接受的医疗服务记录。
- 限制在支持工单中分享的信息。 今后,请注意任何公司的客户支持渠道都可能由具有其自身安全状况的第三方供应商处理。避免分享超出严格必要范围的详细信息。
- 持续关注泄露事件的最新进展。 留意Hims官方就事件范围及其提供的任何补救措施(如信用监控服务)所发布的通告。
医疗公司的数据泄露事件不会就此消失。随着越来越多的医疗服务转移到线上,数字平台所持有的敏感医疗数据将只增不减。成为这些服务的谨慎且知情的用户,是普通人能够掌握的最有效防御手段之一。了解谁持有您的数据以及他们如何使用这些数据,是保护自身安全的合理起点。
