Hims 数据泄露暴露敏感医疗和处方数据

执行摘要

直接面向消费者的远程医疗公司Hims & Hers发生了数据泄露，暴露了高度敏感的患者健康信息（PHI），包括勃起功能障碍、脱发和体重管理等状况的处方详情。这一事件首次由Dark Reading报道，涉及未经授权访问医疗专业人员使用的系统，可能泄露了患者的姓名、药物类型和治疗指示。受影响个体的具体范围和总数尚不清楚，但暴露的数据性质带来了重大的隐私和勒索风险。

技术分析

此次泄露并非平台广泛被入侵的结果，而是未经授权访问医疗提供者使用的特定、有限的系统。根据公司的通知，威胁行为者访问了该系统，并在2024年10月29日至11月13日之间查看了“有限数量”个体的信息。据报道，暴露的数据字段包括患者姓名、药物名称以及药物所开处方的健康状况。没有迹象表明金融信息、社会安全号码或详细的医疗记录被访问。公司或开源报告中尚未公开披露初始入侵的技术途径（例如，凭证盗窃、漏洞利用）。

入侵指标

目前没有识别出任何指标。公司没有发布与此事件相关的技术指标，如可疑的IP地址、文件哈希或攻击者基础设施。

战术、技术与程序

根据可用信息，主要战术似乎是初始访问（TA0001），可能通过有效的账户凭证（T1078）或利用面向公众的应用程序，来入侵后端医疗提供者系统。随后的技术属于收集（TA0009），特别是从信息库中访问数据。威胁行为者的行为表明，他们明确关注识别和窃取敏感、有污名的健康数据，这与高影响勒索或针对性骚扰的策略一致，而不是大规模金融欺诈。

威胁行为者背景

目前尚不清楚此次泄露背后的威胁行为者的身份和动机。数据的目标性质——特别是与社会污名相关的状况的处方——表明，这可能是一个专门从事敏感数据勒索的财务动机行为者，可能是勒索软件或勒索集团。或者，这可能是黑客活动家或寻求造成声誉损害的个人所为。在没有进一步的技术证据或责任声明的情况下，归因仍然是推测性的。

缓解措施与建议

Hims & Hers表示已重置相关密码并实施了额外监控。对于其他医疗保健和远程医疗组织，关键缓解措施包括：

• 实施严格的访问控制： 对所有包含PHI的系统实施基于角色的访问控制（RBAC）和最小权限原则，确保提供者只能访问直接患者护理所必需的数据。
• 强制多因素认证（MFA）： 要求所有访问内部系统的访问都使用防钓鱼的MFA，特别是行政和提供者门户，以减轻基于凭证的攻击。
• 分割敏感数据： 构建系统以逻辑上分离高度敏感的数据字段（例如，对污名状况的药物）与一般患者记录，限制泄露的潜在影响范围。
• 增强审计日志记录： 确保全面、不可变的记录所有对PHI的访问和查询，并对可疑模式（如大规模数据查看或非主要护理提供者的访问）进行警报。
• 进行针对性培训： 教育医疗保健提供者和行政人员了解网络钓鱼威胁以及保护包含敏感患者数据的系统凭证的关键重要性。