上圖為AMCA資安事件中,病患支付卡帳單地址資料外洩最嚴重的十大地區。(圖片來源/geminiadvisory,https://geminiadvisory.io/amca-largest-medical-breach/)

資安業者Gemini Advisory今年2月在黑市發現,駭客正在兜售20萬筆的支付卡資訊,追查之下發現相關資訊源自於,專替醫療診所追討病患欠費的American Medical Collection Agency(AMCA),本周相繼傳出美國臨床診斷公司Quest Diagnostics與LabCorp都收到AMCA的通知,顯示這兩家醫療組織分別有1,190萬名病人及770萬名病人的資料外洩,而外界則擔心,AMCA的資料外洩事件恐波及更多的醫療院所。

AMCA宣稱每年可替全美的醫療院所處理超過10億美元的營收帳款,每月寄出144萬封催帳郵件,每天撥出35萬通電話,總計已協助清除逾2,500萬名客戶的債務。

Quest Diagnostics在聲明稿中指出,AMCA坦承他們用來存放來自不同組織之個人資料的系統遭到未經授權的使用者存取,雖然Quest Diagnostics並未直接與AMCA合作,但承攬Quest Diagnostics業務的營收周期管理公司Optum360,又把催帳業務轉包給AMCA,而造成1,190萬名Quest Diagnostics病患的個資外洩。

AMCA是在5月通知Optum360與Quest Diagnostics,Quest Diagnostics則在6月3日對外公告。

接著另一臨床診斷公司LabCorp也在提交給美國證券交易委員會(SEC)的文件中提到了同樣的意外,顯示LabCorp也是AMCA資料外洩事件的受害者之一,波及770萬LabCorp的病患資料,其中有20萬名病患的資料中含有支付卡資訊。

根據LabCorp的描述,AMCA平台被入侵的時間點長達半年以上,約是在去年8月1日到今年的3月30日。

這些健康醫療診所提供給AMCA的病患資料,通常包括姓名、生日、地址、電話、社會安全碼、服務日期與帳號資訊,若是與AMCA達成付款協議的病患,則會再額外具備支付卡資訊。

Gemini Advisory指出,該公司在3月1日便試圖與AMCA接洽,卻不得其門而入,於是當天就通報了聯邦執法機構。

儘管並未取得AMCA的任何回應,但Gemini Advisory相信AMCA已經收到訊息,因為AMCA的支付入口網站在4月就已關閉,且停用了數周。

外界認為AMCA此次的意外應不僅影響Quest Diagnostics與LabCorp,很快就會有其它的受害者浮上檯面。


Advertisement

更多 iThome相關內容