在一個出名的黑客論壇上有攻擊者泄露了美國超過 6000 名患者高度敏感的健康保險數據的數據庫。

　　攻擊者聲稱這些數據是從美國保險巨頭 Humana 處竊取的，包括該公司健康計劃內客戶可追溯到 2019 年的詳細醫療記錄。被泄露的信息包括患者姓名、ID、電子郵件地址、密碼哈希、醫療數據等信息。

　　數據泄露發生在美國第三大健康保險公司 Humana 通知其 65000 名健康計劃成員存在安全漏洞四個月后。

　　2020 年 10 月 12 日左右，承包商的員工向未經授權的人提供了醫療記錄。

　　2020 年 12 月 16 日，受數據泄露影響的一名患者向 Humana 提起訴訟。

　　Humana 確認被泄露的數據屬于該公司。已經下載了該數據的論壇用戶表示，數據并不向攻擊者所說是 2019 年的數據，而是 2020 年的數據。如果這一信息屬實的話，被泄露的數據可能是 2020 年的攻擊中被泄露的一部分。

　　而攻擊者提供證明的部分數據大多都是 2019 年的，可能另有來路，不是同一批。

　　泄露了什么

　　泄露的 SQL 數據庫包含超過 82 萬行數據，一共 97 個表。其中一些表存儲了 6487 個美國人的醫療數據，包括全名、患者 ID、電子郵件地址、帶有郵政編碼的街道地址、密碼哈希、隱私政策確認狀態、醫療保險計劃、醫療數據、與患者有關的圖片與視頻（X 射線、CT 掃描、保險文件掃描等）。

　　此外，該數據庫似乎還包含其他 API 調用的私有密鑰。攻擊者可以使用這些 API 密鑰訪問 Humana 或其他合作伙伴的在線服務。

　　影響范圍

　　7 月 16 日，SQL 數據庫通過 WeTransfer 免費對外公開了。尚不知道有多少人已經得到了這些數據，而 WeTransfer 已經獲悉了此事，不日就會刪除托管的數據庫。

　　由于該數據庫包含大量高度敏感的個人信息，攻擊者利用這些信息能夠做很多事情。例如：

　　發起魚叉郵件/垃圾郵件

　　進行欺詐性保險索賠

　　使用受害者的健康保險

　　對患者進行勒索

　　進行身份竊取

　　如果您是 Humana 的客戶，醫療數據就有可能被泄露。