Veradigm数据泄露声明在暗网泄露后受到审查

Veradigm LLC是一家为医疗提供商提供软件解决方案的健康信息技术公司。2025年9月22日，Veradigm向一些州检察长提交了数据泄露通知信。

根据通知，Veradigm获悉未经授权方在2024年12月15日访问了某些客户的数据。客户数据位于一个存储账户中，攻击者在对未具名的Veradigm客户进行攻击后获取凭证访问了该账户。

Veradigm声明，他们于2025年7月1日通过第三方对客户数据泄露的调查首次意识到此次泄露。尽管他们直到7月1日才知晓此事件，但一些受影响的患者已于2025年6月25日对他们提起了集体诉讼。

根据Veradigm的通知，受影响的具体信息因个人而异，但包括姓名、联系方式、出生日期、健康记录数据（如诊断、药物、测试结果和治疗）、健康保险信息、支付详情以及有限的身份标识，如社会安全号码或驾驶执照号码。伊利诺伊州北区的Goodrum诉Veradigm诉讼已达成和解，法院可能会批准。

在有人联系DataBreaches告知未具名客户是向日葵医疗集团之前，Veradigm对事件的描述似乎没有异常或特别可疑之处。如果我们查看Rhysida泄露网站上的向日葵数据包，我们会找到Veradigm客户数据。

DataBreaches开始研究向日葵医疗集团事件。

向日葵医疗集团泄露事件

2025年1月7日，堪萨斯州的向日葵医疗集团（“SMG”）得知未经授权的第三方可能访问并获取了特定文件的副本。一项调查确认泄露发生在2024年12月15日左右。

SMG是一个由初级保健医生组成的独立团体，包括向日葵医疗集团、Heartland Primary Care和Women’s Clinic Associates。SMG于2025年3月7日向HHS报告了此事件，并报告有220,698名患者受到影响。

根据其自身调查，HHS以以下摘要结束了调查：

受覆盖实体（CE）向日葵医疗集团报告遭受网络攻击，约220,968个人的受保护健康信息（PHI）遭到泄露。涉及的PHI包括姓名、出生日期、地址、社会安全号和驾驶执照号码、索赔信息、诊断/状况、实验室结果、药物和其他治疗信息。CE通知了HHS、受影响个人和媒体。在缓解努力中，CE部署了端点监控，实施了安全增强措施，并重新培训员工以更好地保护其电子PHI。OCR向CE提供了有关HIPAA规则的技术援助。

SMG的通知未告知患者他们的信息在暗网上泄露。SMG未提及任何非SMG数据在暗网泄露中与他们的数据混合。但情况是否如此？

SMG是否将Rhysida泄露网站上的SMG数据包与其自身服务器上的数据进行了比较？如果他们在自己的服务器上或数据包中发现了非SMG数据，他们采取了什么应对措施？

DataBreaches联系了SMG询问，但未收到回复。

开始连接线索

SMG的通知未提及Veradigm，Veradigm的通知也未提及SMG，但两个实体都提到了2024年12月15日发生的泄露。是否Rhysida团伙（于1月7日将SMG添加到其暗网泄露网站）从SMG获取了某些凭证，使他们能够访问Veradigm的存储账户？这正是Veradigm的通知和网站声明似乎声称的，但这是准确的吗？

Veradigm向州检察长的通知未列出患者受泄露影响的客户，也未指定受影响患者的总数。如果Veradigm已通知HHS，由于政府关闭，尚未显示。向德克萨斯州、南卡罗来纳州、蒙大拿州和马萨诸塞州检察长提交的报告表明，这些州的65,270名居民受到影响。向加利福尼亚州提交的报告未包含任何数字。

尽管可用的州数字未表明这是一次重大泄露，但Goodrum诉Veradigm和解提案表明可能有200万人受到影响。

除SMG外，Veradigm的客户似乎未发布自己的泄露披露。然而，一些客户的网站直接链接到Veradigm的泄露通知，包括Urology Associates of Mobile、北卡罗来纳州的Cabarrus Eye Center、Family Medical Group of Texarkana和Peachtree Neurological（现称为Piedmont Physicians Group Peachtree Neurology）。在Rhysida泄露网站的SMG数据包中发现了所有这四个实体的数据。

检查SMG数据包

1月7日，即SMG声称得知泄露的同一天，Rhysida团伙将SMG添加到其暗网泄露网站，并附有索赔证明。他们未对唯一患者数量提出任何声明，但声称拥有超过40万张驾驶执照、保险卡和社会安全号码。数据量为7.6 TB，包含5,288,062个文件。一个SQL数据库超过3 TB。

Rhysida的列表声称拥有数十万个包含个人身份信息的文件和一个SQL数据库。

根据Veradigm所写内容，在客户数据泄露中发现的凭证被用于访问包含其他Veradigm客户数据的Veradigm存储账户。如Veradigm描述事件以及和解文件描述，存储账户可能位于Veradigm的服务器上。那么为什么DataBreaches在SMG数据包中看到来自Veradigm客户的数据？

客户数据实际上是在SMG的服务器上而不是Veradigm的服务器上吗？或者Rhysida错误地将两个独立泄露的数据合并到一个数据包中？

没有证据表明Rhysida找到了任何凭证或使用它们访问Veradigm客户数据。相反，在SMG服务器上发现的Veradigm客户数据是纯文本，完全没有访问控制。DataBreaches也不认为Rhysida会将Veradigm客户数据与SMG数据合并。如果存在单独的黑客攻击，Rhysida更可能直接试图勒索Veradigm，但Veradigm未暗示类似情况。

Veradigm的事件版本不再合理。

哪些Veradigm客户在SMG服务器上有数据？

检查10部分SMG数据包的一部分，发现了以下实体的数据：

• Neighborhood Health Center（前Northwest Buffalo CHC）
• Urology Associates of Mobile（UAMPA）
• Family Medical Group of Texarkana
• Peachtree Neurological Clinic（现称为Piedmont Physicians Group Peachtree Neurological）
• Virginia Ear, Nose & Throat Associates（Virginia ENT）
• Cabarrus Eye Center
• North Buncombe Family Medicine, P.A.
• Clinton County Medical Center
• Corona-Temecula Orthopaedic
• Northeast Orthopedic Clinic
• Genesis Healthcare Partners（现称为Unio Specialty Care）
• Advanced Health & Wellness（Advance Care Health System, Rogue Valley Health & Wellness）
• Premier Primary Care
• Thomaston Medical Clinic

在"/data"目录下列出的七个文件夹，包括Cabarrus Eye Center、Corona-Temecula Orthopaedic、North Buncombe Family、Northeast Orthopedic Clinic、Ntierfiles和Sunflower Medical Group的文件夹。Ntierfiles文件夹包含Genesis Health Partners向患者发送的数百份催收通知。

七个文件夹对应六个实体，都处于相同的层次级别。

DataBreaches观察到SMG与其他实体处于相同的层次级别，其中三个实体已在其网站上发布指向Veradigm泄露通知的链接。

如果这些是SMG数据包中发现的唯一非SMG实体，可能支持存储账户的声明；然而，/data目录的这一部分并非来自其他非SMG实体的唯一数据。在数据包的另一部分，DataBreaches发现了可能包含员工姓名的文件夹。一些可能包含员工姓名的文件夹包括与其他似乎与SMG无关的医疗实践或团体相关的数据。

文件夹名称"Anila"、“ChrisM”、“Saranam"和"Sudarsan"包含与其他医疗团体相关的文件。

在数据包的不同部分发现了其他似乎是Veradigm客户的医疗实体的文件夹。

在名为"Anila"的文件夹中，有来自密西西比州患者的文件。

在名为"Saranam"的文件夹中，DataBreaches注意到来自Advanced Health & Wellness、Family Medical Group、Premier Primary Care和Thomaston Medical Clinic的文件。Family Medical Group是在其网站上发布指向Veradigm泄露通知链接的客户之一。

在名为"Sudarsan"的文件夹中，有来自Peachtree Neurological、Virginia Ear Nose & Throat、Buffalo Community Health和Urology Associates of Mobile的文件。Peachtree Neurological和Urology Associates是也已公开链接到Veradigm泄露通知的Veradigm客户。

各个文件夹中的数据似乎与客户数据在Veradigm服务器上的一个存储账户中的声明相矛盾。

在名为"ChrisM"的文件夹中，还有来自许多其他实体的更多文件，如下面的屏幕截图所示。

“ChrisM"文件夹包含大量来自似乎与SMG无关的医疗实践的数据。

有来自明尼苏达州和北达科他州的CHI医院、爱荷华州的Mercy Clinics、Centerville和三个州的Physician Enterprise、明尼苏达州Baudette和Breckenridge的患者以及内布拉斯加州的Physician Network的数据。这些实体都是Veradigm的客户吗？DataBreaches不确定，但它们的数据似乎不太可能与向日葵医疗集团有关。

在Google上搜索发现，Veradigm（前身为Allscript）有员工拥有我们找到的一些名字，但没有姓氏，无法完全验证。

未解答的问题

DataBreaches在9月30日至10月31日期间五次通过电子邮件联系Veradigm，要求澄清其泄露通知中的声明。在最后一封电子邮件中，我们向他们提供了在SMG数据包中发现的疑似Veradigm客户列表以及"ChrisM"文件夹的屏幕截图，并要求他们确认或否认这些实体是否为Veradigm客户。

DataBreaches还重复了一个关于存储账户托管位置的问题——是在他们的服务器上还是在SMG的服务器上。

Veradigm未回复任何问题。

DataBreaches无法确定Veradigm客户的数据在SMG服务器上，但SMG数据包引发了许多问题。

如前所述，SMG未通知患者他们的数据在暗网上泄露。Veradigm也未能告知其客户的患者他们的信息已在暗网上泄露。

如果Veradigm或SMG回复询问，本文将被更新。