夏威夷大学癌症中心数据泄露影响120万人

2026年3月3日，夏威夷大学癌症中心宣布遭受数据泄露事件，影响约120万人。黑客窃取了包括社会安全号码、驾照信息、选民登记记录和健康相关信息在内的敏感数据。

泄露详情

夏威夷大学癌症中心是夏威夷州主要的癌症研究和治疗机构，拥有大量患者和研究人员数据。此次泄露是该机构历史上最严重的安全事件。

泄露数据类型

根据中心的通知，泄露的数据包括：

• 姓名和出生日期
• 社会安全号码
• 驾照信息
• 选民登记记录
• 健康相关信息
• 健康保险信息
• 医疗记录摘要

攻击时间线

据安全调查：

• 2025年12月：攻击者获得初始访问权限
• 2026年1月：数据窃取活动达到高峰
• 2026年2月初：安全团队发现异常活动
• 2026年2月中旬：确认数据泄露
• 2026年3月初：公开披露事件

攻击手段

初步调查显示，攻击者可能使用了以下技术：

• 利用未修补的漏洞获得初始访问
• 使用合法工具进行 lateral movement
• 在数周内逐步窃取数据
• 使用加密通道传输 stolen data

机构回应

夏威夷大学癌症中心采取了以下措施：

• 立即隔离受影响的系统
• 聘请外部网络安全专家
• 通知联邦执法机构和州监管机构
• 向受影响个人发送通知信
• 提供免费的信用监控服务

法律后果

该机构面临多项法律挑战：

• HIPAA违规调查
• 集体诉讼
• 州总检察长调查
• 潜在监管罚款

患者建议

受影响个人应立即采取以下措施：

1. 监控信用报告中的异常活动
2. 考虑冻结信用档案
3. 警惕医疗身份盗窃
4. 仔细检查医疗账单和保险声明
5. 向相关机构报告任何可疑活动

医疗行业教训

此事件再次凸显了医疗保健机构面临的网络安全挑战。医疗数据在黑市上价值高昂，使医疗机构成为黑客的主要目标。

专家建议医疗机构：

1. 实施零信任安全架构
2. 加强员工安全意识培训
3. 定期进行安全评估和渗透测试
4. 投资威胁检测和响应能力
5. 制定和完善事件响应计划

来源：SecurityWeek、HIPAA Journal