MU醫療保健數據洩露事件損害了患者的社會安全號碼

人們往往會忘記，發現數據洩露後最重要的任務就是保護用戶的隱私。取而代之的是，他們通常專注於找出事件的責任人或責任。讓我們暫時使用這種方法，看看誰對上周密蘇里州醫療保健（MU Health Care） 報告的違規行為負責。

通過受損的電子郵件帳戶訪問了MU Health Care患者的數據

大約八個月前，很明顯，密蘇里大學的一些隸屬於MU Health Care的學生的電子郵件帳戶被盜。 “未經授權的個人”首次闖入是在2019年9月19日，儘管MU Health Care於9月21日獲悉了這次襲擊事件，但直到9月26日該漏洞才得以解決。

在學生的收件箱中，網絡罪犯發現了許多屬於MU Health Care患者的個人信息，包括姓名，出生日期，健康保險數據，“有限”的治療和臨床信息以及“少量”的社會保障數字。發作之後進行了長時間的調查，在此期間，MU Health Care設法確定了所有受影響的患者。但是，由於某些原因，該公告未提及有多少人公開了他們的信息。

MU Health Care：這是憑證填充攻擊

MU Health Care的公告很快指出，由於學生的密碼管理技能差，黑客設法闖入了電子郵件帳戶。根據新聞稿，他們在第三方服務處的帳戶遭到破壞。在上述服務處，他們使用與保護電子郵件相同的用戶名和密碼，黑客利用了這一點。換句話說，他們遭到憑證填充攻擊 。

MU Health Care試圖解釋其係統並未受到損害，而造成漏洞的唯一原因是學生的密碼重用。確實，由於人們為許多不同的服務使用相同的密碼，才使憑據填充的整個概念成為可能，而這只是看似無止境的一系列攻擊中的最新一例，表明這種攻擊的後果有多嚴重。

許多人可能會得出這樣的結論：造成這種破壞的唯一原因是學生。不過，有些背景可能會改變他們的看法。

這不是MU Health Care的首次違規

在此事件發生前的幾個月，即2019年4月，MU Health Care遭受了非常類似的違反。在這種情況下，該組織的一些員工的電子郵件帳戶遭到破壞，黑客在其中發現了超過1.4萬名患者的個人數據。幾個月後，當它宣布襲擊時，MU Health Care沒有透露犯罪分子如何闖入，也沒有告訴我們正在採取何種措施來保護患者免受類似襲擊。

在這種違規行為發生之後，為關聯的電子郵件帳戶引入兩因素身份驗證（2FA）似乎是合乎邏輯的。甚至有人說，執行它是更好地保護患者數據的第一步。不幸的是，MU Health Care決定不這樣做，這很遺憾，因為它本可以阻止2019年9月的襲擊。