E安全7月14日讯 上个月，多家美国医疗保险数据库多达多达6.5万病患的个人记录被窃并在暗网兜售。这个名为 “thedarkoverlord”现如今又在暗网叫卖纽约州布朗克斯一个医疗数据库超过3.4万例病患个人信息。

这名黑客透露称，他通过远程桌面协议（RDP协议）中的零日漏洞直接访问了数据库的敏感信息。具体来说，通过这个RDP可以访问桌面，黑客在访问时发现“Passwords.txt”样式文件可以进一步毫不费力渗透电子医疗系统。

数据包括姓名、街道地址、电子邮箱、生日、城市、州、邮编、性别、工作号码、家庭和手机号码。通过进一步分析发现，数据均从位于布朗克斯的医疗供应公司Big Apple Ortho-Med Supply Inc.窃取得来，被窃记录多达34,621条。

Thedarkoverlord还声称，数据合法，之前从未外泄或被使用过。数据将以20.0000比特币（折合88097元人民币）一次性销售。下方为暗网市场产品页面截图：

外媒联系孟买的安全软件公司Seclore首席执行官Vishal Gupta对近期医疗数据库陆续被泄事件做出评论。Gupta表示，事实上，被窃数据正公然出售予任何人。

他表示:“情况竟如此之糟糕，黑客陆续成功入侵医疗设施，医院一再成为这类攻击的受害者。虽然这名黑客以比特币售卖被窃数据，卖掉医疗记录就能发一笔横财，这就是为什么我们将继续关注医疗行业的数据泄露事件。安全标准不会一夜之间就改头换面，但是这些组织机构必须立即采取预防措施。实施以数据为中心的安全举措确保敏感文档受保护，避免另一起高价售卖被窃数据再次发生。”

毫无疑问，去年年对医疗行业来说，网络攻击风波可谓一波不平一波又起。先是美国印第安纳州的医疗软件公司MIE多达400万用户记录被泄；接着 Excellus BlueCross BlueShield 1000万客户记录被盗；之后CareFirst Blue Cross and Blue Shield数据泄露影响110万客户。而入侵好莱坞医疗设施计算机的网络罪犯要求支付9000比特币的赎金。

随着医疗机构竞相实现信息和病患流程数字化，它们成为黑客甚至恶意内部人员攻击的主要目标并不足为奇。据美国国家公共电台（NPR）三月的一份报告显示，2016年初，医疗行业平均每周将近有4起数据泄露事件发生。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒