2025年更新:影响最严重的14起医疗数据泄露事件深度解析

本文详细分析了截至2025年医疗行业历史上影响最严重的14起数据泄露事件,揭示了攻击手法、泄露的数据类型,并从每起事件中提炼出关键的安全教训与防护建议,旨在帮助医疗机构提升网络安全韧性。

14 Biggest Healthcare Data Breaches [Updated 2025] | UpGuard

医疗行业遭受的网络攻击数量位居前列,且有迹象表明未来攻击将更加频繁。结合该行业数据泄露损失成本超越所有其他行业的趋势,一场毁灭性的网络攻击风暴正在逼近该领域。

为了帮助医疗机构增强其网络恢复能力,我们根据影响程度,整理了一份医疗行业最大规模数据泄露事件的清单。

如果您担心当前的数据泄露应对能力,这份医疗行业网络安全指南将提供帮助。

按影响程度排名的医疗行业14大数据泄露事件

每个列出的事件都附带了泄露数据摘要、泄露发生方式以及关键经验教训,以保护您免遭类似命运。

1. Tricare 数据泄露

日期: 2011年9月 影响: 500万患者 泄露是如何发生的? Tricare 是一个为现役军人、其家属和退役人员提供服务的医疗计划,其在运送电子健康记录备份磁带时,磁带从负责人的汽车中被盗,导致发生重大数据泄露。目前尚不清楚犯罪分子是否具备解密磁带存储信息所需的能力,或者他们是否理解所盗物品的内容。作为必要的预防措施,该事件被视为数据泄露处理。 哪些数据被泄露? Tricare 数据泄露中可能泄露了以下数据:

  • 社会安全号码
  • 姓名
  • 地址
  • 电话号码
  • 个人健康数据
  • 临床记录
  • 实验室测试
  • 处方信息 从此次数据泄露中学习 尽管这些备份磁带上的数据已加密,但加密方法不符合特定的联邦标准。为了减轻根据 HIPAA 报告的数据泄露的影响,应实施符合联邦标准的数据加密策略。

2. Community Health Systems 数据泄露

日期: 2014年4月至6月 影响: 450万患者 泄露是如何发生的? 据信位于中国的网络犯罪分子利用软件漏洞部署了高度复杂的恶意软件,导致敏感患者数据被盗。该事件影响了过去5年内曾在社区健康系统网络相关机构接受治疗的所有人。 哪些数据被泄露? Community Health Systems 数据泄露中泄露了以下信息:

  • 姓名
  • 出生日期
  • 社会安全号码
  • 电话号码
  • 地址 从此次数据泄露中学习
  • 教育员工识别恶意软件注入企图和医疗行业常见网络威胁的警告信号。
  • 修复恶意软件攻击中常被利用的漏洞。
  • 定期查阅 CVE 数据库,了解影响流行软件解决方案的零日漏洞利用信息。

3. UCLA Health 数据泄露

日期: 2015年7月 影响: 450万患者 泄露是如何发生的? UCLA 发生的数据泄露据信始于2014年10月,但当时该活动并未表现出恶意意图。然而在2015年5月,确认发生了一起涉及敏感患者信息泄露的网络攻击。 哪些数据被泄露? UCLA 数据泄露中泄露了以下数据:

  • 姓名
  • 出生日期
  • 社会安全号码
  • 医疗补助信息
  • 健康计划识别号码
  • 部分医疗数据 从此次泄露中学习 UCLA Health 因未能按照 HIPAA 规定的泄露通知协议及时报告泄露,被处以750万美元罚款。为防止此类泄露报告延迟,必须在检测到可疑网络活动时承诺进行彻底调查。

4. Advocate Health Care 数据泄露

日期: 2013年8月 影响: 403万患者 泄露是如何发生的? Advocate Health Care 在四台存储着403万患者未加密医疗信息的个人电脑被盗后,成为一系列数据泄露的受害者。 哪些数据被泄露? Advocate Health Care 数据泄露中泄露了以下数据:

  • 姓名
  • 地址
  • 出生日期
  • 信用卡号及有效期
  • 人口统计信息
  • 临床信息
  • 健康保险信息 从此次数据泄露中学习 未能实施最基本的数据加密网络安全实践,公然违反了 HIPAA 中概述的数据保护标准。为了向其他医疗机构传达此类不当行为的严重性,Advocate Health Care Network 被责令向卫生与公众服务部支付555万美元罚款。为避免此类结果,应实施 ISO 27001 中规定的物理安全控制措施,以保护内部设备免遭盗窃,同时应在所有处理敏感数据的设施中推行加密实践。

5. Medical Informatics Engineering 数据泄露

日期: 2015年7月 影响: 390万患者 数据泄露是如何发生的? 电子病历软件开发商 Medical Informatics Engineering (MIE) 遭受数据泄露,影响了其至少11家医疗保健提供商客户。网络犯罪分子使用被盗的用户名和密码访问了 MIE 的一台服务器,并在19天内保持访问未被察觉。MIE 的239家客户受到此次泄露影响。 哪些数据被泄露? Medical Informatics Engineering 数据泄露中可能泄露了以下数据:

  • 姓名
  • 电话号码
  • 邮寄地址
  • 用户名
  • 哈希密码
  • 安全问题和答案
  • 配偶信息
  • 电子邮件地址
  • 出生日期
  • 社会安全号码
  • 实验室结果
  • 健康保险单信息
  • 诊断信息
  • 残疾代码
  • 医生姓名
  • 医疗状况
  • 子女姓名
  • 出生统计数据 从此次数据泄露中学习 民权办公室发现泄露发生的原因是 MIE 违反了 HIPAA 安全规则 45 CFR § 164.308,该规则要求进行彻底的风险分析以发现个人健康识别信息的潜在暴露风险。因此次违规,MIE 被处以10万美元罚款。为防止网络安全法规不合规及其导致的昂贵罚款,应实施能够根据公认安全框架映射特定合规工作的安全解决方案。网络犯罪分子能够使用被盗凭证毫不费力地访问 MIE 的私有网络。为防止此类事件,应实施暗网监控解决方案,以监控可能包含网络访问凭证的敏感数据泄露。

6. Newkirk Products 数据泄露

日期: 2016年7月 影响: 380万患者 数据泄露是如何发生的? 美国最大的医疗保健识别卡发行商之一 Newkirk Products,在网络犯罪分子访问其一台服务器时遭受数据泄露。许多医疗机构受到此次事件影响,但也许导致如此高影响的最重要受害者是保险公司 Blue Cross Shield(按参保人数计算最大的医疗保险公司)。多个 Blue Cross Shield 分支机构与泄露数据相关联。 哪些数据被泄露? Newkirk products 数据泄露中泄露了以下数据:

  • 初级保健提供者信息
  • 医疗补助 ID 号码
  • 患者姓名
  • 受抚养人姓名
  • 出生日期
  • 发票信息 从此次数据泄露中学习
  • 严格测试服务器软件的安全漏洞和错误配置。
  • 保护所有特权访问管理协议。
  • 持续扫描服务器以发现潜在的漏洞利用。

7. Banner Health 数据泄露

日期: 2016年8月 影响: 362万患者 数据泄露是如何发生的? 网络犯罪分子访问了 Banner 的一台私有服务器,Banner Health 工作人员发现异常日志活动后发现了此次入侵。被攻破的服务器用于处理来自 Banner Health 不同地点餐饮网点的银行卡支付信息。 哪些数据被泄露? Banner Health 数据泄露中泄露了以下数据:

  • 患者姓名
  • 地址
  • 出生日期
  • 社会安全信息
  • 预约日期
  • 医生信息
  • 健康保险信息 从此次数据泄露中学习
  • 确保第三方供应商遵守强制性金融法规,以防止通过第三方数据泄露访问客户支付信息。
  • 通过定期风险评估和安全评级监控,确保所有第三方供应商的安全态势持续改进。

8. Trinity Health 数据泄露

日期: 2020年5月 影响: 330万患者 数据泄露是如何发生的? 2020年5月,负责存储 Trinity Health 捐赠者数据库备份的第三方供应商 Blackbaud 遭遇勒索软件攻击。Trinity Health 在取证专家和执法部门的支持下,成功阻止了此次勒索软件攻击企图,但黑客在此之前已窃取了一部分包含与 Trinity Health 相关信息的数据。违反 FBI 坚决反对与网络犯罪分子妥协的立场,Blackbaud 支付了网络犯罪分子的赎金要求,以换回被盗数据库,并保证任何数据副本将被永久销毁。由于无法确认此类保证,Trinity Health 将该事件视为极有可能的数据泄露,使其成为2020年医疗行业最大的数据泄露事件。2021年,Trinity Health 再次成为数据泄露的受害者,影响了586,869名患者。该事件是因第三方文件传输平台 Accellion 遭受网络攻击导致的大规模数据泄露的一部分。 哪些数据被泄露? 据 Trinity Health 称,以下患者信息可能被泄露:

  • 全名
  • 地址
  • 电子邮件地址
  • 出生日期
  • 医疗保健提供者
  • 医疗保健服务日期和类型
  • 病历号
  • 免疫接种类型
  • 实验室结果
  • 药物信息
  • 索赔信息
  • 某些财务信息(不包括信用卡信息) 从此次数据泄露中学习
  • 实施供应商风险管理软件解决方案,以发现和解决可能助长勒索软件攻击的漏洞。
  • 切勿顺从网络犯罪分子的要求。合作永远无法保证,您仍将不得不将此事件视为潜在的泄露,同时还会带来负面宣传和重大财务损失。
  • Blackbaud 成功拦截勒索软件攻击企图,证明了其高度优化的事件响应计划和对勒索软件攻击流程的认识。

9. Shields Healthcare Group 数据泄露

日期: 2022年3月 影响: 200万人 泄露是如何发生的? 2022年3月7日至3月21日期间,一名未知的网络攻击者访问了 Shields Healthcare Group 的网络服务器。黑客的活动在3月18日触发安全警报;然而,经过调查,当时并未确认数据泄露。 哪些数据被泄露? 根据 Shield 的安全事件通知,数据泄露尚未得到确认。但是,考虑到网络犯罪分子访问的特定私有网络段,以下类型的数据存在泄露风险:

  • 全名
  • 社会安全号码
  • 出生日期
  • 家庭地址
  • 提供者信息
  • 诊断信息
  • 账单信息
  • 保险号码
  • 病历号
  • 患者 ID
  • 其他医疗治疗信息 从此次数据泄露中学习 Shield 未能在初始安全警报期间识别其网络中的恶意行为者,导致恶意活动又持续了三天。对网络威胁调查采取零信任方法可能会促成更严格的调查,从而发现数据外泄后门的存在。

10. Broward Health 数据泄露

日期: 2022年1月 影响: 130万患者 数据泄露是如何发生的? Broward Health 通过一个有权访问其患者数据库的第三方医疗服务提供商遭受数据泄露。据推测,属于 Brown Health 第三方的被入侵设备未实施多因素身份验证。 哪些数据被泄露? Broward Health 数据泄露中泄露了以下患者信息:

  • 姓名
  • 地址
  • 出生日期
  • 驾照号码
  • 保险信息
  • 医疗信息 从此次数据泄露中学习
  • 在所有终端上实施多因素身份验证
  • 保护所有特权访问管理
  • 跟踪所有连接及试图连接到您私有网络的所有终端

11. Morley Companies 数据泄露

日期: 2022年2月 影响: 521,046 人 数据泄露是如何发生的? 为包括医疗行业在内的财富500强公司提供商业服务的第三方供应商 Morley Companies 遭受勒索软件攻击,导致超过521,000条个人记录暴露。 哪些数据被泄露? Morley Companies 数据泄露中泄露了以下数据:

  • 姓名
  • 地址
  • 社会安全号码
  • 出生日期
  • 客户识别号码
  • 医疗诊断和治疗信息
  • 健康保险信息 从此次数据泄露中学习 尽管攻击始于2021年8月1日,但 Morley 直到2022年2月才通知潜在受害者。这一重大延迟使 Morley 面临更高的违反 HIPAA 泄露通知规则的风险——这一错误本可能导致至少5万美元的罚款。此次事件的另一个关键教训是勒索软件攻击和数据泄露之间的相似影响。当赎金要求未及时支付时,勒索软件攻击也会导致敏感数据暴露。由于两种事件的相似结果,数据泄露安全控制措施也可能有助于防御勒索软件攻击。

12. L’Assurance Maladie 数据泄露

日期: 2022年3月 影响: 51万人 泄露是如何发生的? 法国保险机构 L’Assurance Maladie 在19个账户(主要属于药剂师)被盗后遭受数据泄露。黑客很可能从托管在先前数据泄露中盗取的凭证的暗网论坛获取了这些账户的密码。 哪些数据被泄露? 被盗数据包括:

  • 名字
  • 姓氏
  • 出生日期
  • 社会安全号码
  • 全科医生详细信息
  • 报销水平 从此次数据泄露中学习
  • 实施多因素身份验证,阻止网络犯罪分子使用盗取的凭证登录。
  • 实施数据泄露检测解决方案,以发现并关闭暗网上发布的敏感数据暴露。

13. ARcare 数据泄露

日期: 2022年2月 影响: 34.5万人 泄露是如何发生的? 在2022年1月18日至2月24日期间,网络犯罪分子在 ARcare 的计算机系统内保持未经授权的访问,查看并窃取敏感的个人信息。4月4日,发现部分被盗数据在互联网上暴露。这种在泄露后不久暴露被盗记录的行为模式,与勒索软件攻击者的行为相似,表明该事件可能是一次勒索软件攻击。 哪些数据被泄露? 此次泄露中泄露了以下数据:

  • 姓名
  • 社会安全号码
  • 驾照号码
  • 州身份证号码
  • 出生日期
  • 金融账户信息
  • 医疗治疗信息
  • 处方信息
  • 医疗诊断信息
  • 病情信息
  • 健康保险信息 从此次数据泄露中学习 此次事件迫使 ARcare 审查其数据安全实践并考虑更好的风险缓解策略。这些不应该是数据泄露之后才进行的努力。相反,它们应该在网络事件发生之前就已牢固建立。不要等到数据泄露才启动安全协议审查;请立即审查您的事件响应计划并实施第三方风险管理软件。

14. OneTouchPoint (OTP)

日期: 2022年7月 影响: 260万人 泄露是如何发生的? OneTouchPoint 是一家主要为医疗机构提供服务的第三方邮件和印刷供应商。OTP 于2022年7月首次注意到其部分文件被锁定和加密。调查后,OTP 得出结论,其系统在此前几个月内被非法访问。不久之后,超过30家曾是 OTP 客户的医疗保健提供商(包括 Blue Shield of California, Kaiser Permanente, Anthem 和 Blue Cross)开始报告其医疗和患者记录数据泄露。 哪些数据被泄露? 此次泄露中暴露了以下敏感信息:

  • 姓名
  • 地址
  • 生日
  • 患者病历(免疫接种、过敏、生命体征、药物、病史)
  • 患者人口统计信息
  • 员工雇佣日期
  • 员工 ID 号码
  • 服务描述和日期
  • 健康评估测试结果
  • 诊断代码 从此次数据泄露中学习 尽管 OTP 没有公布泄露的确切性质,但该公司目前正面临医疗机构的集体诉讼,指控 OTP 未能保护可能使患者面临欺诈和盗窃风险的敏感医疗信息。此外,尽管 OTP 在最初报告前几个月就发现了泄露,但未能及时通知受影响的机构和患者。为避免此类事件,企业需要每年审查其安全策略,以确保所有防护措施都是最新的,并能抵御不断演变的网络威胁。此外,与第三方承包商合作的医疗机构需要确保其业务伙伴在处理敏感患者信息时符合 HIPAA 规定。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次