债务追收公司全国追债服务(Nationwide Recovery Service, NRS)在2024年遭受的一次黑客攻击,影响了越来越多的客户和患者。据最近几周向联邦及州监管机构提交的报告,至少有六家以上的NRS客户报告了与此次黑客攻击相关的违规行为,新增超过20万名受影响患者,目前总受影响人数已经超过50万人。
总部位于乔治亚州的NRS于2024年9月向美国卫生与公众服务部(HHS)报告了这一黑客入侵事件,初步估计影响人数为501人。截至本周四,NRS仍未更新HHS民权办公室(OCR)HIPAA重大健康数据泄露报告工具网站上的相关信息,该网站列出了影响500人或以上的重大健康数据泄露事件。
NRS尚未对信息安全媒体集团(ISMG)关于此次黑客攻击详情及受影响客户和人数的询问作出回应。
截至5月中旬,根据NRS客户的违规报告,似乎已有超过30万名患者受到NRS黑客攻击的影响。这些早期受害者包括乔治亚州哈宾诊所(Harbin Clinic)的21万名患者以及德克萨斯州Vitruvian Health(也称为汉密尔顿医疗保健公司,Hamilton Health Care)的近9万名患者,以及其他几家来自医疗及其他行业的公司。
此后,又有几家NRS客户向HHS和州监管机构报告了涉及此次黑客攻击的大规模数据泄露事件,其中包括:
- 宾夕法尼亚州的Select Medical Holdings Corp. 向HHS报告称,119,525人受到影响;
- 伊利诺伊州的UChicago Medicine Medical Group 向HHS报告称,38,656名患者受到影响;
- 新泽西州的Shore Medical Center 向HHS报告称,31,177人受到影响;
- 威斯康星州的Radiology Chartered 向HHS报告称,12,656名患者受到影响。
此外,俄勒冈州的TRG Imaging上周向德克萨斯州总检察长报告称,其257名德州患者受到影响。TRG还向其他州监管机构(包括加州总检察长)提交了违规报告,但截至目前,该影像公司尚未披露受NRS黑客攻击影响的总人数。TRG的违规事件也尚未出现在HHS OCR网站上。
此外,俄克拉荷马州的邓肯地区医院(Duncan Regional Hospital)近期正在通知因NRS事件而受影响的未指定数量的患者,但截至目前,DRH的违规报告尚未发布在HHS OCR网站上。
频繁的目标
由NRS黑客攻击引发的数据泄露事件当然只是今年报告的一系列重大健康数据泄露事件之一,这些事件涉及处理大量受保护健康信息的业务关联方。
截至周三,随着2025年接近过半,HHS OCR网站显示,目前已报告的重大健康数据泄露事件总数达到336起,影响近2920万人。
其中,业务关联方被报告涉及124起事件,影响超过1520万人,约占2025年重大健康数据泄露事件中受影响人数的一半。
“第三方、业务关联方和一般供应链厂商与医疗领域的覆盖实体有着信任关系,有时甚至可以直接访问其网络和系统,”安全公司Lumifi Cyber的现场首席信息安全官迈克·汉密尔顿(Mike Hamilton)表示。
他还指出:“他们持有并处理代表数十甚至数百个覆盖实体的记录。因此,很多时候他们是犯罪分子可以进入覆盖实体的‘未锁窗口’,或者直接破坏这些第三方以获取记录。”
“犯罪团伙以研究业务关联方关系而闻名,并明白一旦披露记录,他们将立即面临集体诉讼。因此,他们设定的勒索金额低于预计诉讼规模的门槛。”
截至周四,NRS已经面临大约十几起与该公司黑客攻击事件相关的拟议联邦集体诉讼。
NRS客户在其违规通知声明中表示,“未经授权的一方”于2024年7月5日至7月11日期间访问了NRS的计算机网络,在此期间获取了NRS系统中的某些文件和文件夹的副本。
图片:NRS
这些受损文件和文件夹中包含的信息可能包括个人姓名、地址、社会保障号码、出生日期、账户余额以及NRS在提供债务支付服务过程中收集的医疗相关信息。
NRS客户还告诉受影响的个人,NRS事件中的黑客并未获得任何客户的IT系统访问权限。
医疗债务追收公司如NRS处理的是健康和财务数据的组合,使其成为威胁行为者特别有吸引力的目标,汉密尔顿说。“这些记录在暗网上极具变现价值,”他说。“这不仅包括债务追收公司,还包括支付处理器和保险公司,”他补充道。
(全文结束)
