安大略 5 醫院遭駭客入侵|51.6 萬病人資料流向暗網|調查指未設多重驗證成致命傷

加拿大安大略省五間醫院及一間診所遭勒索軟件攻擊,逾 51.6 萬名病人及員工資料外洩至暗網。調查報告揭露駭客利用管理員帳戶漏洞入侵,未啟用多重驗證是關鍵。報告亦批評醫院不當收集 2 萬個社會保險號碼,增加身份盜用風險。

【揀報】安大略省資訊及私隱專員公署 (IPC) 發布調查報告,揭露 2023 年 10 月發生的勒索軟件攻擊事件,導致五間醫院及一間診所逾 51.6 萬名病人及員工的個人健康資料外洩。調查員 Francisco Woo 指出,駭客利用三個「被盜用的管理員帳戶 (administrator accounts)」獲取約 150 GB 的資料,而未有使用多重驗證 (multi-factor authentication) 可能是「憑證被盜用的主因 (contributing factor)」。

據《加拿大廣播公司》 (CBC) 報道,被盜資料包括姓名、地址、出生日期、社會保險號碼 (SIN)、診斷及治療紀錄等,全部已被發布至暗網 (dark web)。駭客組織「Daixin」於攻擊兩週後承認犯案,但 IPC 報告未有指名該組織。涉事醫院及 IT 服務商 TransForm 發表聲明,指 IPC 已認可其事後應對措施,並肯定其在資料保護方面的提升。

調查報告特別提到,位於薩尼亞市 (Sarnia) 的藍水健康醫院 (Bluewater Health) 不當收集約 2 萬個社會保險號碼,部分紀錄更可追溯至 1999 年。Woo 批評這些不必要的收集行為「加劇了私隱洩露的嚴重性 (severity of the privacy breach)」,令病人面臨身份盜用及金融詐騙風險。該院已於 2024 年 5 月停止收集 SIN 並銷毀相關檔案。

另一爭議點在於醫院未有即時通知所有受影響病人。醫院辯稱部分被盜資料已加密,駭客無法讀取,故無需通知。但 Woo 反駁指資料被存取即構成洩露。網絡安全專家 David Shipley 認為這是一個複雜的辯論:「如果有人看到文件但無法閱讀,這算不算被存取? (really accessed)。」他形容 IPC 的建議是希望為醫院數碼環境安裝「更好的防盜警報 (house alarm)」。

報告建議 TransForm 必須加強早期偵測系統,確保異常活動發生時能即時通報。Shipley 強調,IT 系統是現代醫療的命脈,政府必須透過撥款及立法優先處理網絡安全問題。

新聞來源:《加拿大廣播公司》《CBC News》

Subscribe to Kong Digest|揀報

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe