MU卫生保健数据泄露已损害患者的社会保障号

人们往往会忘记，发现数据泄露后最重要的任务就是保护用户的隐私。取而代之的是，他们通常专注于找出事件的责任人或责任。让我们暂时使用这种方法，看看谁应对上周密苏里州医疗保健（MU Health Care） 报告的违规行为负责。

通过受损的电子邮件帐户访问了MU Health Care患者的数据

大约八个月前，很明显，密苏里大学的一些隶属于MU Health Care的学生的电子邮件帐户被盗。 “未经授权的个人”首次闯入是在2019年9月19日，尽管MU Health Care于9月21日获悉了这次袭击事件，但直到9月26日才揭密该事件。

在学生的收件箱中，网络罪犯发现了许多属于MU Health Care患者的个人信息，包括姓名，出生日期，健康保险数据，“有限”的治疗和临床信息以及“少量”的社会保障数字。发作之后进行了长时间的调查，在此期间，MU Health Care设法确定了所有受影响的患者。但是，由于某些原因，该公告未提及有多少人公开了他们的信息。

MU Health Care：这是凭证填充攻击

MU Health Care的公告很快指出，由于学生的密码管理技能差，黑客设法闯入了电子邮件帐户。根据新闻稿，他们在第三方服务处的帐户遭到破坏。在上述服务处，他们使用与保护电子邮件相同的用户名和密码，黑客利用了这一点。换句话说，他们遭到凭证填充攻击 。

MU Health Care试图解释其系统并未受到损害，而造成漏洞的唯一原因是学生的密码重用。确实，由于人们为许多不同的服务使用相同的密码，才使凭据填充的整个概念成为可能，而这只是看似无止境的一系列攻击中的最新一例，表明这种攻击的后果有多严重。

许多人可能会得出这样的结论：造成这种破坏的唯一原因是学生。不过，有些背景可能会改变他们的看法。

这不是MU Health Care的首次违规

在此事件发生前的几个月，即2019年4月，MU Health Care遭受了非常类似的违反。在这种情况下，该组织的一些员工的电子邮件帐户遭到破坏，黑客在其中发现了超过1.4万名患者的个人数据。几个月后，当它宣布袭击时，MU Health Care没有透露犯罪分子是如何闯入的，也没有告诉我们正在采取什么措施来保护患者免受类似袭击。

在这种违规行为发生之后，为关联的电子邮件帐户引入两因素身份验证（2FA）似乎是合乎逻辑的。甚至有人说，执行它是更好地保护患者数据的第一步。不幸的是，MU Health Care决定不这样做，这很遗憾，因为它本可以阻止2019年9月的袭击。