安全企业Gemini Advisory今年2月在黑市发现,黑客正在兜售20万笔的支付卡信息,追查之下发现相关信息源自于,专替医疗诊所追讨病患欠费的American Medical Collection Agency(AMCA),本周相继传出美国临床诊断公司Quest Diagnostics与LabCorp都收到AMCA的通知,显示这两家医疗组织分别有1,190万名病人及770万名病人的数据外泄,而外界则担心,AMCA的数据外泄事件恐波及更多的医疗院所。
AMCA宣称每年可替全美的医疗院所处理超过10亿美元的营收帐款,每月发送144万封催帐邮件,每天呼出35万通电话,总计已协助清除超过2,500万名客户的债务。
Quest Diagnostics在声明稿中指出,AMCA坦承他们用来存放来自不同组织之个人数据的系统遭到未经授权的用户访问,虽然Quest Diagnostics并未直接与AMCA合作,但承揽Quest Diagnostics业务的营收周期管理公司Optum360,又把催帐业务转包给AMCA,而造成1,190万名Quest Diagnostics病患的个人信息外泄。
AMCA是在5月通知Optum360与Quest Diagnostics,Quest Diagnostics则在6月3日对外公告。
接着另一临床诊断公司LabCorp也在提交给美国证券交易委员会(SEC)的文件中提到了同样的意外,显示LabCorp也是AMCA数据外泄事件的受害者之一,波及770万LabCorp的病患数据,其中有20万名病患的数据中含有支付卡信息。
根据LabCorp的描述,AMCA平台被入侵的时间点长达半年以上,约是在去年8月1日到今年的3月30日。
这些健康医疗诊所提供给AMCA的病患数据,通常包括姓名、生日、地址、电话、社会安全码、服务日期与帐号信息,若是与AMCA完成付款协议的病患,则会再额外具备支付卡信息。
Gemini Advisory指出,该公司在3月1日便试图与AMCA接洽,却不得其门而入,于是当天就通报了联邦执法机构。
尽管并未取得AMCA的任何回应,但Gemini Advisory相信AMCA已经收到消息,因为AMCA的支付门户网站在4月就已关闭,且停用了数周。
外界认为AMCA此次的意外应不仅影响Quest Diagnostics与LabCorp,很快就会有其它的受害者浮上台面。