暗网泄露后Veradigm数据泄露声明引发质疑

本文详细调查了Veradigm医疗技术公司的数据泄露事件,揭露了其声明中的矛盾之处。事件涉及向日葵医疗集团和多个医疗机构的数据在暗网泄露,暴露了医疗数据存储和安全管理的严重问题。

Veradigm数据泄露声明在暗网泄露后受到审查

Veradigm LLC是一家为医疗保健提供者提供软件解决方案的健康信息技术公司。2025年9月22日,Veradigm向一些州检察长提交了数据泄露通知信。

根据通知,Veradigm得知未经授权的一方在2024年12月15日访问了部分客户的数据。这些客户数据位于一个存储账户中,攻击者在对一个未具名的Veradigm客户进行攻击后获取了凭证并访问了该账户。

Veradigm表示,他们于2025年7月1日通过第三方对客户数据泄露的调查首次意识到此次泄露。尽管他们在7月1日之前对此事件不知情,但一些受影响的患者已于2025年6月25日对他们提起了集体诉讼。

根据Veradigm的通知,受影响的具体信息因个人而异,但包括姓名、联系方式、出生日期、健康记录数据(如诊断、药物、测试结果和治疗)、健康保险信息、支付详情以及有限的身份标识,如社会安全号码或驾驶执照号码。伊利诺伊州北区的Goodrum诉Veradigm诉讼已达成和解,法院可能会批准。

在有人联系DataBreaches告知未具名客户是向日葵医疗集团之前,Veradigm对事件的描述似乎没有什么不寻常或特别可疑之处。如果我们查看Rhysida泄露网站上的向日葵数据包,我们会找到Veradigm客户数据。

DataBreaches开始研究向日葵医疗集团事件。

向日葵医疗集团泄露事件

2025年1月7日,堪萨斯州的向日葵医疗集团(“SMG”)得知未经授权的第三方可能访问并获取了特定文件的副本。一项调查确认泄露发生在2024年12月15日左右。

SMG是一个由初级保健医生组成的独立团体,包括向日葵医疗集团、Heartland初级保健和Women’s Clinic Associates。SMG于2025年3月7日向HHS通报了此事件,并报告有220,698名患者受到影响。

在自行调查后,HHS以以下摘要结束了调查:

受保护实体(CE)向日葵医疗集团报告称,其遭受了一次网络攻击,约220,968个人的受保护健康信息(PHI)遭到泄露。涉及的PHI包括姓名、出生日期、地址、社会安全号码和驾驶执照号码、索赔信息、诊断/状况、实验室结果、药物和其他治疗信息。CE通知了HHS、受影响个人和媒体。在缓解措施中,CE部署了端点监控,实施了安全增强措施,并重新培训了员工以更好地保护其电子PHI。OCR向CE提供了有关HIPAA规则的技术援助。

SMG的通知没有告知患者他们的信息在暗网上泄露。SMG没有提到任何非SMG数据在暗网泄露中与他们的数据混合在一起。但事实是这样吗?

SMG是否将Rhysida泄露网站上的SMG数据包与自身服务器上的数据进行了比较?如果他们在自己的服务器上或数据包中发现了非SMG数据,他们采取了什么应对措施?

DataBreaches联系了SMG询问,但没有收到回复。

开始连接线索

SMG的通知没有提到Veradigm,Veradigm的通知也没有提到SMG,但两个实体都提到了发生在2024年12月15日的泄露。于1月7日将SMG添加到其暗网泄露网站的Rhysida团伙,是否从SMG获取了某种凭证,使他们能够访问Veradigm的存储账户?这似乎是Veradigm的通知和网站声明所声称的,但这是准确的吗?

Veradigm向州检察长的通知没有列出其患者受泄露影响的客户,也没有具体说明受影响患者的总数。如果Veradigm已通知HHS,由于政府关闭,该信息尚未显示。向德克萨斯州、南卡罗来纳州、蒙大拿州和马萨诸塞州检察长提交的报告表明,这些州的65,270名居民受到影响。向加利福尼亚州提交的报告没有包含任何数字。

尽管现有的州数字表明这不是一次重大泄露,但Goodrum诉Veradigm的和解提案表明可能有200万人受到影响。

除SMG外,Veradigm的客户似乎没有发布自己的泄露披露。然而,一些客户的网站直接链接到Veradigm的泄露通知,包括Mobile泌尿科协会、北卡罗来纳州的Cabarrus眼科中心、Texarkana家庭医疗集团和Peachtree神经科诊所(现称为Piedmont Physicians Group Peachtree Neurology)。在Rhysida泄露网站的SMG数据包中发现了所有这四个实体的数据。

检查SMG数据包

1月7日,即SMG声称得知泄露的同一天,Rhysida团伙将SMG添加到其暗网泄露网站,并提供了索赔证明。他们没有对唯一患者数量提出任何声明,但声称拥有超过40万张驾驶执照、保险卡和社会安全号码。数据量达7.6 TB,包含5,288,062个文件。一个SQL数据库超过3 TB。

Rhysida的列表声称拥有数十万个包含个人身份信息的文件和一个SQL数据库。

根据Veradigm所写的内容,在客户数据泄露中发现的凭证被用于访问包含其他Veradigm客户数据的Veradigm存储账户。正如Veradigm和和解文件所描述的那样,该存储账户可能位于Veradigm的服务器上。那么,为什么DataBreaches在SMG数据包中看到了来自Veradigm客户的数据?

客户数据实际上是在SMG的服务器上而不是Veradigm的服务器上吗?或者Rhysida错误地将两个独立泄露的数据合并到了一个数据包中?

没有证据表明Rhysida找到了任何凭证或使用它们访问Veradigm客户数据。相反,在SMG服务器上发现的Veradigm客户数据是纯文本,完全没有访问控制。DataBreaches也不认为Rhysida会将Veradigm客户数据与SMG数据合并。如果存在单独的泄露,Rhysida更有可能直接试图勒索Veradigm,但Veradigm没有提出任何类似的说法。

Veradigm对事件的描述不再合理。

哪些Veradigm客户的数据在SMG服务器上?

对10部分SMG数据包其中一部分的检查发现了以下实体的数据:

  • Neighborhood Health Center(前Northwest Buffalo CHC)
  • Urology Associates of Mobile (UAMPA)
  • Family Medical Group of Texarkana
  • Peachtree Neurological Clinic(现称为Piedmont Physicians Group Peachtree Neurological)
  • Virginia Ear, Nose & Throat Associates (Virginia ENT)
  • Cabarrus Eye Center
  • North Buncombe Family Medicine, P.A.
  • Clinton County Medical Center
  • Corona-Temecula Orthopaedic
  • Northeast Orthopedic Clinic
  • Genesis Healthcare Partners(现称为Unio Specialty Care)
  • Advanced Health & Wellness (Advance Care Health System, Rogue Valley Health & Wellness)
  • Premier Primary Care
  • Thomaston Medical Clinic

在“/data”目录下列出了七个文件夹,包括Cabarrus Eye Center、Corona-Temecula Orthopaedic、North Buncombe Family、Northeast Orthopedic Clinic、Ntierfiles和Sunflower Medical Group的文件夹。Ntierfiles文件夹包含Genesis Health Partners向患者发送的数百份催收通知。

七个对应六个实体的文件夹都处于相同的层级。

DataBreaches观察到SMG与其他实体处于相同的层级,并且其中三个实体已在其网站上发布了指向Veradigm泄露通知的链接。

如果这些是SMG数据包中发现的唯一非SMG实体,这可能支持存储账户的说法;然而,/data目录的这一部分并不是来自其他非SMG实体的唯一数据。在数据包的另一部分,DataBreaches发现了可能以员工姓名命名的文件夹。一些可能以员工姓名命名的文件夹包含其他似乎与SMG无关的医疗机构或团体的数据。

名为“Anila”、“ChrisM”、“Saranam”和“Sudarsan”的文件夹包含与其他医疗团体相关的文件。

在数据包的不同部分发现了其他似乎是Veradigm客户的医疗实体的文件夹。

在名为“Anila”的文件夹中,有来自密西西比州患者的文件。

在名为“Saranam”的文件夹中,DataBreaches注意到了来自Advanced Health & Wellness、Family Medical Group、Premier Primary Care和Thomaston Medical Clinic的文件。Family Medical Group是在其网站上发布指向Veradigm泄露通知链接的客户之一。

在名为“Sudarsan”的文件夹中,有来自Peachtree Neurological、Virginia Ear Nose & Throat、Buffalo Community Health和Urology Associates of Mobile的文件。Peachtree Neurological和Urology Associates也是已公开链接到Veradigm泄露通知的Veradigm客户。

各个文件夹中的数据似乎与客户数据位于Veradigm服务器上的一个存储账户的说法相矛盾。

在名为“ChrisM”的文件夹中,还有来自许多其他实体的更多文件,如下面的屏幕截图所示。

“ChrisM”文件夹包含大量来自似乎与SMG无关的医疗机构的数据。

有来自明尼苏达州和北达科他州的CHI医院、爱荷华州的Mercy Clinics、Centerville的Physician Enterprise及三个州、明尼苏达州Baudette和Breckenridge的患者以及内布拉斯加州的Physician Network的数据。这些实体都是Veradigm的客户吗?DataBreaches不确定,但这些数据似乎不太可能与向日葵医疗集团有关。

在Google上搜索发现,Veradigm(前身为Allscript)有员工的名字与我们发现的一些名字相符,但由于没有姓氏,无法完全核实。

未解答的问题

DataBreaches在9月30日至10月31日期间五次通过电子邮件联系Veradigm,要求澄清其泄露通知中的声明。在最后一封电子邮件中,我们向他们提供了在SMG数据包中发现的疑似Veradigm客户列表以及“ChrisM”文件夹的屏幕截图,并请他们确认或否认这些实体是否为Veradigm客户。

DataBreaches还重复了一个关于存储账户托管位置的问题——是在他们的服务器上还是在SMG的服务器上。

Veradigm没有回复任何问题。

DataBreaches无法确定Veradigm客户的数据是否在SMG的服务器上,但SMG数据包引发了许多问题。

如前所述,SMG没有通知患者他们的数据在暗网上泄露。Veradigm也未能告知其客户的患者他们的信息已在暗网上泄露。

如果Veradigm或SMG回复询问,本文将被更新。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次