合作厂商员工邮件账号被骇，安泰保险近50万客户个资曝险

安泰保险（Aetna）集团合作的医疗服务商本月公告，一名员工电子邮件账号被骇后遭用来发送钓鱼信件，可能导致近50万名安泰健康保险方案客户个资外泄。

爆发个资外泄的是安泰合作的眼科医疗服务及眼镜设备销售商EyeMed，后者于9月通知安泰，并在本月呈报美国主管机关。该公司于7月1日发现一个EyeMed邮件账号遭到非授权人士存取，包括该账号中的联络人资料。这些资料也包含EyeMed眼科服务的前任及现任保险受益人。不明人士随后对这些联络人的邮件信箱发送网钓信件。

这家眼科服务商找来外部安全厂商进行详尽调查后判断，攻击者可能也存取了这些客户的个资，包括全名、住家地址、生日、电话、电子邮件、眼科保险账号及ID、健康保险方案账号及ID、美国医疗保险Medicaid或Medicare编号、驾驶执照及其他身份字号、以及出生及结婚证明资料等。有些账号还包含部分或完整的社会安全号码、财务资料等。甚至有少部分账号带有医疗诊断、治疗资料，和护照号码。

EyeMed已在日前以邮件通知受影响的客户，但不确定这些资料是否有被滥用的情形。

这家厂商公开资料并未说明受影响的客户人数，不过根据美国卫生及福祉服务部（Health and Human Services）的资料，波及人数为48万4千多人。

这还不是美国本月最大规模的资料外泄事件。本月初提供320家牙科诊所及医院服务的牙科照护联盟（Dental Care Alliance）也传出被骇，造成病患个资外流。恶意活动从9月18日开始，直到10月11 日被发现，2天后才清除。根据美国HHS官方资料，受影响人数超过100万。

媒体取得这家机构给客户的通知函显示，遭存取的资料包括病患姓名、地址、诊断及治疗、病患账号、信用卡资讯、医疗保险资讯。约10%的客户银行账号受到影响。