UnitedHealth承認當初有1億用戶資料遭竊

美國衛生及公共服務部（HHS）的民權辦公室（OCR）上周更新了健康資訊外洩列表，顯示出今年2月遭駭的Change Healthcare所外洩的用戶資料高達1億筆，成為美國醫療領域最嚴重的資料外洩事件。

圖片擷取自美國衛生及公共服務部（HHS）網站

Change Healthcare是美國健康保險集團UnitedHealth Group子公司Optum所買下的醫療服務供應商，主要提供醫療業者的收入周期管理、支付管理，以及健康資訊交換解決方案，每年處理150億筆的醫療照護交易，涉及1/3的美國病患紀錄。

該公司在今年2月遭到勒索軟體BlackCat的攻擊，駭客利用竊來的憑證入侵了Change Healthcare的Citrix遠端存取服務，盜走了6GB的資料，也加密了Change Healthcare系統。隨後Change Healthcare並未說明外洩的筆數，僅說使用者的健康資訊、健保資訊、支付資訊，或是社會安全碼與駕照號碼等資訊外洩了。

UnitedHealth Group在今年5月坦承支付贖金予駭客，惟並未證實金額是否為外傳的2,200萬美元。

然而，根據BleepingComputer的報導，BlackCat在收到贖金之後，忽然關閉了，而且將贖金據為己有，並未分配給合作夥伴，但此一合作夥伴依然握有Change Healthcare的機密資料，並再度向該公司勒索，而母公司UnitedHealth很可能支付了第二次的贖金。

UnitedHealth今年4月公布第一季財報時，編列了8.72億美元的網路攻擊成本，其中有5.93億美元屬於直接回應攻擊成本，另外的2.79億美元則是因攻擊所招致的業務損失，並估計總成本將超過10億美元；而在UnitedHealth今年第3季的財報中，列出了該攻擊對該公司今年前9個月的影響，顯示相關成本已超過24.5億美元。