關(guān)鍵詞

數(shù)據(jù)泄露

2025年3月2日，美國加州主要醫(yī)療保險(xiǎn)服務(wù)商藍(lán)盾公司（Blue Shield of California）披露了一起重大數(shù)據(jù)泄露事件：由于該公司網(wǎng)站在2021年4月至2024年1月期間錯(cuò)誤配置了谷歌分析工具（Google Analytics），導(dǎo)致470萬投保人的敏感醫(yī)療信息被同步至谷歌廣告平臺(tái)（Google Ads）。這一數(shù)字意味著該公司近600萬客戶中有78%的個(gè)人數(shù)據(jù)遭到泄露，這也是2025年迄今最嚴(yán)重的醫(yī)療隱私安全事故之一。

敏感信息全面曝光

根據(jù)藍(lán)盾公司發(fā)布的聲明，泄露數(shù)據(jù)涉及投保人的多項(xiàng)關(guān)鍵信息，包括但不限于：

• 醫(yī)保信息

  ：保險(xiǎn)計(jì)劃名稱、類型及團(tuán)體編號(hào)

• 個(gè)人身份數(shù)據(jù)

  ：姓名、性別、居住城市及郵政編碼

• 醫(yī)療記錄細(xì)節(jié)

  ：醫(yī)療服務(wù)日期、就診機(jī)構(gòu)名稱、患者自付費(fèi)用金額

• 平臺(tái)活動(dòng)痕跡

  ：用戶在官網(wǎng)"尋找醫(yī)生"功能中的搜索內(nèi)容及結(jié)果

不過，公司強(qiáng)調(diào)，社會(huì)安全號(hào)碼（SSN）、駕照信息、銀行卡資料等高危金融數(shù)據(jù)并未在此次事件中外泄。藍(lán)盾表示，此次泄露源于技術(shù)配置錯(cuò)誤，而非黑客攻擊，且谷歌方面承諾未將相關(guān)數(shù)據(jù)共享給第三方。

涉嫌違反HIPAA合規(guī)要求

此次事件引發(fā)了對(duì)醫(yī)療機(jī)構(gòu)數(shù)據(jù)合規(guī)管理的尖銳質(zhì)疑。按照美國《健康保險(xiǎn)隱私及責(zé)任法案》（HIPAA）的規(guī)定，涉及受保護(hù)健康信息（PHI）的服務(wù)必須簽訂"商業(yè)伙伴協(xié)議"（BAA），但谷歌在其官方政策中明確指出：谷歌分析工具（Google Analytics）不具備HIPAA合規(guī)性，也不提供BAA保障，這意味著醫(yī)療機(jī)構(gòu)若錯(cuò)誤引入該服務(wù)，可能面臨嚴(yán)重的法律風(fēng)險(xiǎn)。

"這反映了醫(yī)療行業(yè)對(duì)數(shù)據(jù)追蹤技術(shù)的監(jiān)管不足，"數(shù)據(jù)隱私公司Lokker的首席執(zhí)行官伊恩·科恩（Ian Cohen）分析稱，"許多機(jī)構(gòu)既不熟悉分析工具的實(shí)際數(shù)據(jù)收集范圍，也未掌握正確的配置方法。"

一年內(nèi)第二次重大數(shù)據(jù)安全事故

值得注意的是，這已是藍(lán)盾公司在短短12個(gè)月內(nèi)遇到的第二起嚴(yán)重?cái)?shù)據(jù)安全事件。2024年，其外包服務(wù)供應(yīng)商Connexure曾遭遇BlackSuit勒索軟件攻擊，導(dǎo)致近100萬投保人信息遭竊。美國衛(wèi)生與公眾服務(wù)部民權(quán)辦公室（OCR）已介入調(diào)查本次事件，并初步認(rèn)定該泄露為2025年醫(yī)療行業(yè)最嚴(yán)重的數(shù)據(jù)安全事故之一。

后續(xù)應(yīng)對(duì)

藍(lán)盾公司表示，已于2024年1月緊急切斷谷歌分析與廣告平臺(tái)的連接，并啟動(dòng)全面的數(shù)據(jù)安全審查。

來源：https://cybersecuritynews.com/blue-shield-leaked-health-info/

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！