美國醫療照護軟體供應商Welltok外洩逾800萬病患資料

美國醫療照護產業的軟體即服務（SaaS）供應商Welltok近日警告，該公司受到MOVEit零時差漏洞的影響，外洩了8,493,379名病患資料，是迄今受到該漏洞影響的第二大受害者，僅次於政府服務機構Maximus所外洩的1,130萬筆個資。

勒索軟體集團Clop是在今年5月開始針對MOVEit的零時差漏洞CVE-2023-34362展開攻擊。MOVEit為Progress Software所提供的檔案管理軟體，可加密並傳輸檔案，並提供自動化、分析與故障轉移功能，CVE-2023-34362是個SQL注入漏洞，允許未經授權的使用者存取MOVEit Transfer資料庫，其CVSS風險評分高達9.8，而Progress Software則是在5月31日修補了該漏洞。

根據資安業者Emsisoft的統計，Clop利用該漏洞總計入侵了2,636個組織，存取了超過8,000萬筆的個人資料。

其實Welltok今年10月底就曾低調披露此事，指出該公司曾在7月26日收到警告，宣稱其MOVEit Transfer伺服器遭到入侵，由於Welltok先前即安裝了MOVEit的所有修補程式，也基於當時所擁有的資訊針對系統及網路進行檢查，認為系統並未受到危害。

但Welltok仍持續與第三方資安專家合作進行更深入的調查，卻在8月11日發現駭客曾在5月30日存取該公司的MOVEit Transfer伺服器。該伺服器上存放了20個醫療組織的病患資料，包括姓名、地址、電話號碼、電子郵件帳號，且約有100萬Corewell Health病患資料的健保資訊、社會安全碼及診斷資料遭到存取。

Welltok已代替這些組織通知受到波及的病患，也負責提供免費的信用監控服務。