美國醫院姐妹健康系統（HSHS）近日通知了超過88.2萬名患者，稱2023年8月的一次網絡攻擊導致了數據泄露，暴露了他們的個人和健康信息。

HSHS成立于1875年，擁有超過2200名醫生和約1.2萬名員工。該機構在伊利諾伊州和威斯康星州運營著一個由15家地方醫院組成的網絡，其中包括兩家兒童醫院。

這家非營利性醫療系統在發送給受影響患者的數據泄露通知中表示，事件是在2023年8月27日發現的，當時發現攻擊者已經侵入了HSHS的網絡。

攻擊導致系統全面癱瘓

安全漏洞發生后，HSHS的系統還受到了廣泛中斷的影響，導致伊利諾伊州和威斯康星州的醫院“幾乎所有操作系統”和電話系統都陷入癱瘓。HSHS還聘請了外部安全專家來調查此次攻擊，評估其影響，并幫助其IT團隊恢復受影響的系統。

HSHS在2024年9月的一份聲明中表示：“我們正在優先考慮患者安全，同時建立恢復流程。在第三方專家的支持下，我們正在盡快且安全地將系統重新上線。像我們這樣規模的醫療系統在數千臺服務器上運行著數百個系統應用程序，因此我們的恢復和調查工作將需要一些時間才能完成。”

攻擊者訪問了大量敏感信息

盡管此次事件和由此導致的中斷具有勒索軟件攻擊的所有特征，但目前尚未有勒索軟件組織聲稱對此負責。

經過取證調查，HSHS發現攻擊者在2023年8月16日至8月27日期間訪問了受感染系統上的文件。HSHS表示：“我們一直在審查這些文件，并在審查過程中逐步通知那些信息被發現的個人。”

攻擊者在HSHS系統內訪問的信息因受影響的個人而異，包括姓名、地址、出生日期、病歷號、有限的治療信息、健康保險信息、社會安全號碼和/或駕駛執照號碼等。

患者需警惕潛在風險

HSHS補充說，目前沒有證據表明受害者的信息已被用于欺詐或身份盜竊，但仍建議受影響的個人監控其賬戶對賬單和信用報告中的可疑活動。該醫療系統還為受影響的個人提供了一年的免費Equifax信用監控服務。

當BleepingComputer早些時候聯系HSHS發言人確認數據泄露是否由勒索軟件攻擊引起時，該發言人并未立即回應。

醫療行業數據泄露事件頻發

上周，康涅狄格州醫療服務提供商社區健康中心（CHC）向超過100萬名患者發出數據泄露警報，而全球最大的獨立血液采集和分發組織之一紐約血液中心（NYBC）表示，勒索軟件攻擊迫使其重新安排了一些預約。

本月早些時候，UnitedHealth透露，去年Change Healthcare的勒索軟件攻擊導致約1.9億美國人的信息被盜，幾乎是10月份披露的1億人的兩倍。

2023年12月下旬，美國衛生與公眾服務部（HHS）提出了HIPAA更新，以應對大規模醫療安全漏洞激增的情況，確保患者的健康數據安全。