Kaiser Permanente数据泄露事件，导致7万人受影响

近期，Kaiser Permanente披露了数据泄露事件，这起事件导致多达7万人的数据信息遭暴露，包括姓名、病例编号、服务日期和实验室检测结果信息。这家美国医疗保健提供商警告，泄露的信息有可能被恶意第三方窃取。

事件详情

安全研究人员发现keep、pyanxdns、api-res-py等python模块突然引入了密码窃取模块，经过调查发现是开发者疏漏导致的。起因是一开发人员本想引入requests包，结果不小心少打了个s，就引入了一个恶意包。出现这种低级错误确实有点尴尬，但不排除开发者账号被劫持或有他自己小心思的可能性，目前这三个包出现密码窃取模块的问题已分配了CVE。 

部分镜像站也有一定的责任，request作为老牌钓鱼包早就臭名远扬，但很多镜像仍未从索引中删掉它，持续对粗心大意的开发者进行着钓鱼攻击。

关于Kaiser Permanente

Kaiser Permanente 雇佣了超过 300,000 名员工，在全国范围内提供医疗保健和非营利健康计划。6月份早些时候，Kaiser Permanente给客户发送了数据泄露通知，声称4月5日发现了未经授权的访问事件。该公司在未经授权的访问开始后数小时内停止了访问，并调查确定事件范围。

受保护健康信息可能遭暴露

经过调查确定电子邮件中包含受保护的健康信息，可能暴露的受保护健康信息包括：姓名、病例编号、服务日期和实验室检测结果信息。但信息中包括社会安全号码和信用卡号码等敏感信息。虽然没有迹象表明该信息被未经授权的一方访问，但该医疗保健无法完全排除这种可能性。

Kaiser Permanente表示，已经重置了受影响员工的密码，并且为员工提供了相关的安全知识培训，以降低这类事件发生的风险。

虽然该公司没有透露违规的规模，但向美国卫生与公众服务部提交的另一份文件指出，有69589人受到影响。

安全供应商Comforte AG的网络安全专家Erfan Shadabi认为，敏感数据一旦进入组织就应该受到保护。他说，你可以尝试插入每一个接入点，但攻击者总是在寻找一个简单的漏洞，让他们能够访问你的敏感企业数据。

数据始终是攻击者的目标，只有采取更多以数据为中心的安全措施，比如：标记化和格式保留加密，才能保护企业的数据安全，才能在一定程度上阻止攻击者窃取敏感信息并将这些信息用于邪恶目的的企图。