医疗保健SaaS公司Welltok遭黑客攻击，850万患者数据曝光

医疗保健SaaS提供商Welltok在11月24日发出警告，透露该公司所使用的文件传输程序在一次数据盗窃攻击中遭到黑客入侵，导致近850万美国患者的个人数据遭泄露。Welltok与全美各地的医疗服务提供商进行合作，负责维护在线健康计划，其数据库中包含患者的个人数据，用于生成预测分析，并支持医疗保健需求，如用药遵从和大流行病应对。

在今年初，Clop勒索软件团伙曾利用MOVEit软件中的零日漏洞成功侵入全球数千家机构，接着提出勒索要求并泄露数据，影响人数超过7700万。Welltok在10月底发布了一份数据事故通知，警告其MOVEit Transfer服务器在2023年7月26日遭到入侵。尽管在供应商提供安全更新后即刻应用，但仍然发生了这一事件。

患者数据在此次泄露中被曝光，包括全名、电子邮件地址、实际地址和电话号码。对于某些个体而言，还包括社会安全号（SSN）、医疗保险/医疗补助ID号以及某些健康保险信息。此漏洞影响了明尼苏达州、阿拉巴马州、堪萨斯州、北卡罗来纳州、密歇根州、内布拉斯加州、伊利诺伊州和马萨诸塞州等多个州的机构。

由于Welltok未立即披露此信息，初步估计的受影响人数存在差异。然而，今天早些时候，该公司在美国卫生与公众服务部的数据泄露门户网站上报告称，数据泄露已确认影响到8,493,379人。这一数字使Welltok数据泄露事件成为MOVEit第二大数据泄露事件，仅次于服务承包商Maximus，后者的数据泄露事件影响了1100万人。

防范黑客攻击对文件传输程序至关重要。以下是一些关键的安全措施和最佳实践：

• 加密数据传输：使用安全的传输协议（如SSL或TLS）对数据进行加密，确保在传输过程中信息不容易被截取或窃听。
• 强化身份验证：实施强身份验证措施，如使用多因素身份验证（MFA）或双因素身份验证（2FA），以确保只有授权用户能够访问传输的文件。
• 更新和维护软件：及时更新文件传输程序和相关软件，包括操作系统、数据库和任何第三方组件。定期进行安全审计和漏洞扫描，及时修补发现的漏洞。
• 网络隔离和防火墙：将文件传输系统放置在网络内部，采用网络隔离措施，同时配置防火墙以限制对系统的非授权访问。
• 审计和监控：实施全面的审计和监控机制，追踪用户活动和文件传输事件，及时发现异常行为并采取措施进行响应。
• 访问控制：基于最小权限原则，确保用户只能访问他们工作所需的文件和功能。定期审查和更新用户权限。
• 强化密码策略：要求强密码，并定期要求用户更改密码。使用密码哈希和加盐等技术加强密码安全性。
• 教育和培训：对用户进行安全培训，提高他们对社会工程学攻击和钓鱼邮件的警惕性。教育用户避免使用弱密码和共享密码。
• 备份和恢复：定期备份重要的文件和系统数据，并测试恢复流程。在发生攻击或数据损失时，能够快速恢复至最新的正常状态。
• 定期安全评估：定期进行安全评估和渗透测试，发现潜在的漏洞和弱点，以便及时修复。

通过综合采取这些措施，文件传输程序可以大幅提高其安全性，降低黑客攻击的风险。