暗网泄露揭示医疗数据安全危机:Veradigm公司数据泄露事件技术调查

本文深度调查了医疗信息技术公司Veradigm及其客户Sunflower医疗集团的数据泄露事件。通过对暗网泄露数据的技术分析,揭示了所谓的“存储账户访问”说法与在客户服务器上发现的明文数据之间的矛盾,并对Veradigm公司的事件描述提出了严重质疑。

Veradigm数据泄露声明在暗网泄露后受到审查

Veradigm LLC是一家向医疗保健提供商提供软件解决方案的健康信息技术公司。2025年9月22日,Veradigm向一些州检察长提交了数据泄露通知函。

根据该通知,Veradigm得知一名未经授权的方于2024年12月15日访问了部分客户的数据。这些客户的数据位于一个存储账户中,攻击者是在对一家未具名的Veradigm客户的攻击中获得凭证后访问了该账户。

Veradigm声称,他们于2025年7月1日通过对客户数据泄露事件的第三方调查首次意识到此次入侵。尽管他们直到7月1日才知晓此事,但一些受影响的患者已于2025年6月25日对他们提起了集体诉讼。

根据Veradigm的通知,受影响的具体信息因个人而异,但包括姓名、联系方式、出生日期、健康记录数据(如诊断、药物、测试结果和治疗)、健康保险信息、付款详情以及有限的标识符,如社会安全号码或驾照号码。伊利诺伊州北区地方法院的Goodrum诉Veradigm案已达成和解,法院很可能批准。

在了解未具名客户泄露事件的人联系DataBreaches,告知我们该未具名客户是Sunflower医疗集团,并建议我们查看Rhysida泄露网站上关于Sunflower的数据批次,以找到Veradigm客户数据之前,Veradigm对事件的描述似乎没有异常或特别可疑之处。DataBreaches随即开始研究Sunflower医疗集团事件。

Sunflower医疗集团数据泄露事件

2025年1月7日,堪萨斯州的Sunflower医疗集团获悉,一个未经授权的第三方可能访问并复制了特定文件。一项调查证实,泄露发生在2024年12月15日左右。

SMG是一个由初级保健医生组成的独立团体,包括Sunflower医疗集团、Heartland初级保健和Women‘s Clinic Associates。SMG于2025年3月7日就此次事件通知了美国卫生与公众服务部,报告有220,698名患者受到影响。

HHS在完成自己的调查后,以下列摘要结束了调查:

受保护实体Sunflower医疗集团报告称,其遭受了一次网络攻击,泄露了约220,968个人的受保护健康信息。涉及的PHI包括姓名、出生日期、地址、社会安全号和驾照号码、索赔信息、诊断/状况、实验室结果、药物和其他治疗信息。该CE已通知HHS、受影响个人和媒体。在其缓解措施中,该CE部署了端点监控,实施了安全增强措施,并重新培训了员工,以更好地保护其电子PHI。OCR就该CE的HIPAA规则提供了技术援助。

SMG的通知没有告知患者他们的信息已在暗网上泄露。SMG也没有提及在暗网泄露中,是否有任何非SMG数据与他们的数据混在一起。但真的是这样吗?

SMG是否将Rhysida泄露网站上的SMG数据批次与其自身服务器上的数据进行了比较?如果他们在自己的服务器上或数据批次中发现了非SMG数据,他们采取了什么应对措施?

DataBreaches联系了SMG询问,但没有收到回复。

开始连接线索

SMG的通知没有提及Veradigm,Veradigm的通知也没有提及SMG,但两家实体都提到了2024年12月15日发生的泄露事件。Rhysida团伙(于1月7日将SMG添加到其暗网泄露网站)是否从SMG获得了某种凭证,使他们能够访问Veradigm的存储账户?这正是Veradigm通知和网站声明似乎要声称的,但这准确吗?

Veradigm向州检察长发出的通知没有列出其患者受此次泄露影响的客户,也没有具体说明受影响患者的总数。如果Veradigm已经通知了HHS,由于政府停摆,该信息尚未显示出来。提交给德克萨斯州、南卡罗来纳州、蒙大拿州和马萨诸塞州州检察长的报告显示,这些州共有65,270名居民受到影响。提交给加利福尼亚州的报告没有包含任何数字。

尽管现有的州级数字并未表明这是一次大规模泄露,但Goodrum诉Veradigm和解提案表明,可能有200万人受到影响。

除了SMG,Veradigm的客户似乎都没有发布自己的泄露披露信息。然而,一些客户的网站直接链接到Veradigm的泄露通知,包括Mobile泌尿科协会、北卡罗来纳州的Cabarrus眼科中心、Texarkana家庭医疗集团和Peachtree神经内科诊所(现称Piedmont Physicians Group Peachtree Neurology)。在Rhysida泄露网站的SMG数据批次中,发现了所有这四个实体的数据。

检查SMG数据批次

1月7日,即SMG声称得知泄露的同一天,Rhysida团伙在其暗网泄露网站上添加了SMG及其泄露证明。他们没有对唯一患者数量提出任何说法,但声称拥有超过40万张驾照、保险卡和社会安全号码。数据总量为7.6 TB,包含5,288,062个文件。一个SQL数据库超过3 TB。

Rhysida的列表声称拥有数十万个包含个人身份信息的文件和一个SQL数据库。

根据Veradigm的描述,在某个客户的数据泄露事件中发现的凭证被用来访问一个包含其他Veradigm客户数据的Veradigm存储账户。正如Veradigm和和解文件所描述的,该存储账户大概位于Veradigm的服务器上。那么,为什么DataBreaches会在SMG数据批次中看到来自Veradigm客户的数据?

这些客户数据实际上是在SMG的服务器上,而不是在Veradigm的服务器上?还是Rhysida错误地将两次独立泄露的数据合并到了一个批次中?

没有证据表明Rhysida找到了任何凭证或用它们来访问Veradigm客户数据。恰恰相反,在SMG服务器上发现的Veradigm客户数据是明文形式,没有任何访问控制。DataBreaches也不认为Rhysida会将Veradigm客户数据与SMG数据合并。如果存在另一次单独的泄露,Rhysida更有可能试图直接敲诈Veradigm,但Veradigm没有提出类似的说法。

Veradigm对事件的描述开始变得不合逻辑。

哪些Veradigm客户的数据在SMG服务器上?

检查SMG十部分数据批次中的一个部分,发现了以下实体的数据:

  • Neighborhood Health Center(原Northwest Buffalo CHC)
  • Urology Associates of Mobile(UAMPA)
  • Family Medical Group of Texarkana
  • Peachtree Neurological Clinic(现称Piedmont Physicians Group Peachtree Neurological)
  • Virginia Ear, Nose & Throat Associates(Virginia ENT)
  • Cabarrus Eye Center
  • North Buncombe Family Medicine, P.A.
  • Clinton County Medical Center
  • Corona-Temecula Orthopaedic
  • Northeast Orthopedic Clinic
  • Genesis Healthcare Partners(现称Unio Specialty Care)
  • Advanced Health & Wellness(Advance Care Health System, Rogue Valley Health & Wellness)
  • Premier Primary Care
  • Thomaston Medical Clinic

在“/data”目录下列出了七个文件夹,包括Cabarrus眼科中心、Corona-Temecula骨科、North Buncombe家庭、Northeast骨科诊所、Ntierfiles和Sunflower医疗集团的文件夹。Ntierfiles文件夹包含Genesis Health Partners发送给患者的数百份催收通知。

七个文件夹对应六个实体,它们都处于相同的层级。

DataBreaches观察到,SMG与其他实体处于相同的层级,其中三个实体已在其网站上发布了指向Veradigm泄露通知的链接。

如果这些是SMG数据批次中发现的唯一非SMG实体,这或许可以支持存储账户的说法;然而,这个“/data”目录部分并非唯一的来自其他非SMG实体的数据。在数据批次的另一个部分,DataBreaches发现了可能是员工姓名的文件夹。其中一些可能为员工姓名的文件夹里,包含了似乎与SMG无关的其他医疗诊所或团体的数据。

名为“Anila”、“ChrisM”、“Saranam”和“Sudarsan”的文件夹包含了与其他医疗团体相关的文件。

其他似乎是Veradigm客户的医疗实体的文件夹在数据批次的不同部分被发现。

在名为“Anila”的文件夹中,有来自密西西比州患者的文件。 在名为“Saranam”的文件夹中,DataBreaches注意到了来自Advanced Health & Wellness、Family Medical Group、Premier Primary Care和Thomaston Medical Clinic的文件。Family Medical Group是其中一个在其网站上发布了指向Veradigm泄露通知链接的客户。 在名为“Sudarsan”的文件夹中,有来自Peachtree Neurological、Virginia Ear Nose & Throat、Buffalo Community Health和Urology Associates of Mobile的文件。Peachtree Neurological和Urology Associates也是已公开链接到Veradigm泄露通知的Veradigm客户。

各个文件夹中的数据似乎与“客户数据位于Veradigm服务器上的一个存储账户中”的说法相矛盾。

在一个名为“ChrisM”的文件夹中,甚至有更多来自众多其他实体的文件,如下图所示。

“ChrisM”文件夹包含大量似乎与SMG无关的医疗诊所的数据。

其中有来自明尼苏达州和北达科他州的CHI医院、爱荷华州的Mercy诊所、Centerville和三州地区的Physician Enterprise、明尼苏达州Baudette和Breckenridge的患者以及内布拉斯加州的Physician Network的数据。这些实体都是Veradigm的客户吗?DataBreaches不确定,但这些数据似乎不太可能与Sunflower医疗集团有关联。

谷歌搜索发现,Veradigm(原名Allscript)确实有一些员工的名字与我们发现的这些名字相符,但由于没有姓氏,无法完全核实。

未解之谜

DataBreaches在9月30日至10月31日期间五次通过电子邮件联系Veradigm,要求澄清他们在泄露通知中的说法。在最后一封邮件中,我们向他们提供了在SMG数据批次中发现的疑似Veradigm客户名单以及“ChrisM”文件夹的屏幕截图,并请他们确认或否认这些实体是否为Veradigm客户。

DataBreaches还再次询问了存储账户的托管位置——是在他们的服务器上还是在SMG的服务器上。

Veradigm没有回复任何问题。

DataBreaches不能完全确定Veradigm客户的数据就在SMG的服务器上,但SMG数据批次引发了大量疑问。

如前所述,SMG没有通知患者他们的数据已在暗网上泄露。Veradigm也未能告知其客户的患者他们的信息已在暗网上泄露。

如果Veradigm或SMG回复了询问,本文将被更新。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次