身為美國科羅拉多州健康照護政策與融資部(HCPF)供應商的 IBM,在使用潛藏零時差漏洞(0-day)的 MOVEit 應用程式進行 HCPF 部門資料的例行轉移程序時遭到駭客攻擊。HCPF 部門 11 日證實了這起攻擊事件,並表示共有 410 萬名該州患者的個資遭竊。
MOVEit 是一款深受企業信賴的檔案傳輸軟體,但駭客日前卻利用該軟體中的零時差漏洞,攻擊了科技巨頭 IBM 所營運的系統,結果導致美國科羅拉多州政府 HCPF 部門的敏感個人醫療及健康資訊遭竊,受影響的使用者人數高達 410 萬。
HCPF 部門在發給受害者這起資料外洩的通知信中表示,雖然 HCPF 及科羅拉多州政府系統未受影響,但未經授權的攻擊者卻存取了 IBM 所使用 MOVEit 軟體上的 HCPF 檔。這些檔案中包含了患者的全名、出生日期、居家住址、社會安全碼、醫療補助和醫療保險身分證號碼、收入資料、臨床就醫紀錄及健保資訊等。截至目前為止,IBM 只有發布揭漏 MOVEit 零時差漏洞的部落格文章,並未對整起事件的狀況及影響做出任何回應。
除此之外,受到 IBM MOVEit 系統遭駭事件影響的還有美國密蘇里州的社會服務部(Department of Social Services,DDS)。該部門在上週發送的外洩事件通知書中指出,IBM 是 DSS 部門的服務供應商,這起事件並未對任何 DSS 系統造成影響,但 DSS 醫療及健康相關的個資卻因此外洩。
目前並不清楚受影響人數的確切數字,但整個密蘇里州擁有超過 600 萬的人口,比科羅拉多州的人口還多,所以受影響的使用者人數勢必很可觀。與俄羅斯有關的 Clop 勒索軟體組織宣稱這起大規模 MOVEit 零時差漏洞攻擊事件是他們所為,但他們表示並沒竊取任何政府資料。
就在科羅拉多州資料外洩事件發生的幾天前,科羅拉多州高等教育部表示,他們遭遇了一起勒索軟體攻擊事件,駭客從其系統存取並複製了 16 年來的資料。科羅拉多州立大學上個月也證實,該校發生與 MOVEit 軟體有關的資料外洩事件,造成數萬名學生及教學人員的個資受到影響。同時間還有資料管理服務供應商 PH Tech 也證實自己也遭到 MOVEit 駭客的攻擊,共有 170 萬美國俄勒岡州居民的健康資訊被竊。
Millions of Americans’ health data stolen after MOVEit hackers targeted IBM
(首圖來源:IBM)
科技新報粉絲團
加入好友
訂閱免費電子報
