PJ&A网络攻击事件：近900万美国家庭的个人健康信息被泄露

文章重点

• Perry Johnson & Associates (PJ&A)的网络攻击事件导致近900万美国家庭的个人和健康信息被泄露。
• 此次攻击是2023年美国第二大涉及健康数据的泄露事件，尚未确定具体的攻击者。
• 受影响的个人信息包括姓名、出生日期、住址、医疗记录号码等，但不包括信用卡或银行账户信息。
• 多家医疗机构表示受到影响，包括纽约州最大的医疗提供者Northwell Health和芝加哥的Cook County Health。
• PJ&A在发现事件后迅速采取措施，包括终止与相关方的合作，并加强安全防护。

美国的医疗记录服务供应商Perry Johnson &
Associates（PJ&A）近期遭遇网络攻击，造成900万美国家庭的个人和健康信息被泄露。此事件是2023年美国第二大健康数据泄露事件。7月份，田纳西州的HCAHealthcare也曾报告了涉及1100万病人记录的泄露事件。

PJ&A于10月31日开始向受影响的个人发信，通知他们其系统在3月27日至5月2日期间遭到入侵，黑客在4月7日至4月19日期间获取了个人健康信息。

不过，直到本周，PJ&A通知人类服务部时才披露此事件的影响规模，受害者多达8,952,212人。

该公司表示，虽然被盗的具体信息因患者而异，但泄露的信息可能包括患者姓名、出生日期、住址、医疗记录号码、医院账户号码、入院时的诊断以及接受治疗的日期和时间。

可能泄露的数据类型 | 说明
—|—
姓名 | 患者的全名
出生日期 | 患者的出生日期
地址 | 患者的居住地址
医疗记录号码 | 患者的医疗记录编号
医院账户号码 | 患者在医院的账户编号
社会安全号码 | 患者的社会安全号码
临床信息 | 包括检测结果、药物、治疗设施名称
保险信息 | 患者的保险详细信息

PJ&A表示，泄露的信息中不包括信用卡或银行账户信息，以及用户名或密码。

同时，本周，纽约州最大的医疗提供者NorthwellHealth表示PJ&A的泄露事件影响了“某些患者的个人信息”。最初该组织提到受影响的人数为390万，但后期不再提及具体数字。NorthwellHealth在其官网上发布了来自PJ&A关于该事件的声明，说明PJ&A未发现被盗数据被滥用以实施欺诈或身份盗窃。

如需了解更多信息，您可参考 。

11月3日，位于芝加哥的Cook CountyHealth（CCH）也表示有120万患者的资料受到了PJ&A泄露事件的影响。CCH表示，在得知数据安全事件后，立即停止与PJ&A的数据共享，并与其终止合作。

PJ&A尚未提供其系统如何被黑客攻击或谁是嫌疑人的详细信息，但表示在发现该事件后立即聘请了网络安全公司并通知了执法部门。

“我们在系统中实施了额外的技术限制，并为所有员工重置了密码，”该公司表示。“此外，在网络安全公司的协助下，我们部署了端点检测和响应系统，以监控系统的任何未经授权访问。”

此外，本月还有其他两起美国医疗信息泄露事件，这些事件与前述问题无关。位于密歇根州的McLaren健康护理机构报告称，7月至8月期间的泄露导致220万人个人信息被盗，ALPHV/BlackCat勒索软件组织对此次攻击负责。同时，邮购药房供应商Truepill（也称Postmeds）报告称，其系统在8月底遭到入侵，导致230万人个人信息被泄露。