美国医疗保健提供商MediExcel 暴露 50 万份患者文档

总部位于美国的医疗保健提供商 MediExcel 留下了一个公开实例，暴露了超过 50 万份患者文档，包括诊断和索赔表。

由于医疗保健提供者是网络犯罪集团的首要目标，因此保护医疗数据至关重要。然而，网络新闻研究团队发现了数十万份医疗文件可供任何人访问。

该团队发现了 MediExcel 拥有的 Amazon S3（简单存储服务）存储桶。该公司为圣地亚哥和因皮里尔县的雇主提供具有健康福利的健康计划。

开放实例包含超过 555,000 个暴露文档，包括：

• 登记表副本
• 诊断
• 医疗费
• 发票
• 保险理赔

个人医疗保健数据可以在暗网论坛上以数百美元的价格出售。恶意行为者可以使用医疗详细信息进行医疗身份盗窃，这是一种欺诈行为，威胁行为者利用窃取的信息向 Medicare 和其他健康保险公司提交伪造的索赔。

与此同时，其他个人身份信息 (PII) 可能会被用来实施欺诈行为，包括身份盗窃和网络钓鱼攻击、开设新的信用账户、进行未经授权的购买或以虚假借口获取贷款。

“威胁行为者可能会利用这些信息进行身份盗窃、保险欺诈，甚至勒索。医疗文件和发票的泄露可能会导致患者隐私遭到侵犯，并可能滥用其健康信息，这可能会产生严重的法律和道德影响，”我们的研究人员表示。

据该团队称，大部分暴露的信息都揭示了有关 MediExcel 患者的敏感细节。暴露的信息表明，该数据集可能在 2023 年 5 月至 2024 年 4 月期间可供访问。该数据的暴露是由于 AWS S3 访问控制列表配置错误。