【安全资讯】医疗软件公司CareCloud向SEC通报潜在患者数据泄露事件

概要：

在数字化医疗日益普及的今天，医疗数据的安全已成为关乎患者隐私与行业信任的核心议题。近日，医疗软件提供商CareCloud向美国证券交易委员会（SEC）提交文件，披露其系统可能遭遇了患者数据泄露。这一事件不仅凸显了医疗行业作为网络攻击高价值目标的脆弱性，也再次敲响了医疗信息技术供应链安全的警钟。

主要内容：

CareCloud公司于3月16日遭遇网络中断，其管理的六个电子健康记录（EHR）环境中的一个受到影响，系统离线长达八小时。经内部调查发现，一名黑客曾“暂时访问了该系统”。尽管公司最初仅向执法部门报告，但鉴于可能涉及信息的敏感性及事件的潜在后果，CareCloud于3月24日认定此事具有重大影响，并正式向SEC提交了8-K文件。

此次事件的核心在于攻击者成功获得了CareCloud EHR系统的访问权限。虽然具体攻击向量尚未公开，但此类攻击通常利用未修补的漏洞、配置错误或通过钓鱼攻击获取的凭证。CareCloud为超过4.5万家医疗服务提供商提供技术和软件，其系统内存有海量敏感的患者健康信息，这使得任何未授权访问都可能造成大规模数据泄露。

目前，CareCloud仍在评估患者信息或其他数据是否被访问或外泄，以及受影响数据的类别和数量。事件已导致公司面临补救和响应成本、法律与监管事务、通知相关方等一系列后果，并对患者、客户及公司声誉和运营构成潜在威胁。截至报道时，尚无黑客组织宣称对此次事件负责。

此事件是近期针对医疗技术供应商一系列攻击的最新案例，反映了供应链攻击对医疗行业的严重威胁。此前，Insightin、TriZetto Provider Solutions及Episource等公司均曾遭遇重大数据泄露，波及数百万患者。CareCloud事件再次表明，保护承载关键医疗数据的第三方系统安全，已成为整个医疗行业防御体系的薄弱环节和紧迫任务。