Kaiser 公司本月早些时候透露,由于 4 月 5 日的电子邮件泄露事件,该公司遭受了一次大规模的数据泄露,可能泄露了近 7 万名患者的医疗记录。
该公司在 6 月 3 日给受影响客户的一封信中透露,攻击者获得了华盛顿 Kaiser 基金会健康计划公司一名雇员的电子邮件的访问权限,其中包含大量的受保护的健康信息。
攻击者一直未授权访问该邮箱长达数个小时,之后凯撒公司发现了这一攻击活动,并迅速开始调查并且确定事件的范围。
然而,即使是凯撒公司也无法完全确定该攻击者是否因该漏洞而获得了客户的个人健康信息,尽管该公司承认无法完全排除这种可能性。
到目前为止,该公司表示,还没有任何证据能够表明攻击者盗窃或滥用受保护的健康信息是由于漏洞引起的。
除了凯撒公司自己的调查外,美国卫生与公众服务部民权办公室目前也在调查这一事件,根据其网站上公布的信息,该事件影响了 69,589 个人。
快速的响应
一位安全专家指出,虽然凯撒医疗集团一直在积极主动地通知众多客户关于该漏洞的相关信息,但该公司目前对于哪些数据被盗取还尚不明确,这也表明它可能会缺乏足够的事件响应意识。
网络安全公司 Cerberus Sentinel 的安全专家在给媒体的一封电子邮件中指出,这表明企业需要有强大的审计控制能力,快速确定攻击者在此次攻击事件中访问了哪些数据。
他还指出,该公司本可以更快地通知那些可能受影响的人,因为三个月的时间对于攻击者来说,已经有足够的时间来利用这个漏洞了。
Clements 说,在这段时间里,那些受影响的用户信息可能已经被攻击者用来在社会工程活动中窃取了用户更多的信息。至关重要的是,作为其网络安全文化的一部分,组织应该及时评估他们在风险分析或攻防演习中快速了解潜在漏洞的范围的能力。
人为错误仍然是安全问题最大的困扰
这一事件也再次揭示了企业一直以来面临的最大的安全风险 -- 人为的错误。
Verizon 公司在 2022 年数据泄露调查报告(DBIR)中对前一年发生的数据泄露事件进行了全面的调查,发现去年发现的 82% 的泄露事件涉及研究人员所说的 " 人为因素 "。
研究人员在报告中写道,无论是使用被盗的证书、网络钓鱼、误用,还是简单的失误,人在事件和漏洞中都持续发挥着非常大的作用。
商业电子邮件泄露(BEC)是一个特别重大的威胁,这也是凯撒公司泄露事件中所出现的情况。攻击者在制作社会工程学的网络钓鱼邮件和其他恶意电子邮件活动方面已经变得越来越精细,他们会欺骗毫无戒心的员工,让他们交出商业电子邮件账户的凭证。
一旦威胁者获得了对公司网络的初始访问权,这可能会导致进一步的恶意攻击活动,如勒索软件或其他经济动机的网络犯罪。
事实上,BEC 攻击已经成为企业的主要财务消耗方式,联邦调查局最近报告说,在 2016 年 6 月至 2021 年 12 月期间,公司因这种类型的攻击而花费了 430 亿美元。事实上,仅在 2019 年 7 月至 2021 年 12 月期间,BEC 诈骗案就激增了 65%,联邦调查局将此归因于大流行病迫使大多数商业活动要在网上进行。
