合作廠商員工郵件帳號被駭，安泰保險近50萬客戶個資曝險

安泰保險（Aetna）集團合作的醫療服務商本月公告，一名員工電子郵件帳號被駭後遭用來發送釣魚信件，可能導致近50萬名安泰健康保險方案客戶個資外洩。

爆發個資外洩的是安泰合作的眼科醫療服務及眼鏡設備銷售商EyeMed，後者於9月通知安泰，並在本月呈報美國主管機關。該公司於7月1日發現一個EyeMed郵件帳號遭到非授權人士存取，包括該帳號中的聯絡人資料。這些資料也包含EyeMed眼科服務的前任及現任保險受益人。不明人士隨後對這些聯絡人的郵件信箱發送網釣信件。

這家眼科服務商找來外部安全廠商進行詳盡調查後判斷，攻擊者可能也存取了這些客戶的個資，包括全名、住家地址、生日、電話、電子郵件、眼科保險帳號及ID、健康保險方案帳號及ID、美國醫療保險Medicaid或Medicare編號、駕駛執照及其他身份字號、以及出生及結婚證明資料等。有些帳號還包含部份或完整的社會安全號碼、財務資料等。甚至有少部份帳號帶有醫療診斷、治療資料，和護照號碼。

EyeMed已在日前以郵件通知受影響的客戶，但不確定這些資料是否有被濫用的情形。

這家廠商公開資料並未說明受影響的客戶人數，不過根據美國衛生及福祉服務部（Health and Human Services）的資料，波及人數為48萬4千多人。

這還不是美國本月最大規模的資料外洩事件。本月初提供320家牙科診所及醫院服務的牙科照護聯盟（Dental Care Alliance）也傳出被駭，造成病患個資外流。惡意活動從9月18日開始，直到10月11 日被發現，2天後才清除。根據美國HHS官方資料，受影響人數超過100萬。

媒體取得這家機構給客戶的通知函顯示，遭存取的資料包括病患姓名、地址、診斷及治療、病患帳號、信用卡資訊、醫療保險資訊。約10%的客戶銀行帳號受到影響。