美国联邦调查局正在调查这起黑客入侵事件,众议院首席行政官凯瑟琳斯平多(Catherine Szpindor)致信众议院议员,告知他们该网络攻击事件,该事件于周三曝光。Szpindor写道,她收到了联邦调查局和美国国会大厦警察局的黑客警报。
DC Health Link是平价医疗法案的在线市场,该法案负责管理国会议员及其家人和工作人员的医疗保健计划。
Szpindor称该事件是“重大数据泄露”,暴露了数千名DC Health Link员工的个人身份信息(PII),并警告代表们,他们的数据可能已被泄露。
“目前,我不知道本次数据泄露的规模和范围,”她补充说,联邦调查局通知她,“数百名”众议院和工作人员的账户信息和PII被盗。一旦Szpindor有了一份被盗数据的清单,她将直接联系那些受影响的人。
DC Health Link发言人证实了这一数据泄露行为,并表示该公司正在进行自己的调查,同时与执法部门和电子取证调查人员合作。
众议院领袖寻求答案
美国众议院议长凯文·麦卡锡(R-CA)和众议院民主党领袖哈基姆·杰弗里斯(D-NY)在致哥伦比亚特区健康福利交易局执行董事米拉·科夫曼(Mila Kofman)的一封信中要求提供有关此次攻击的更多信息,包括何时通知受影响的众议员及其工作人员和家人,以及将提供哪些服务——例如信用监控。
他们还想具体了解哪些数据被盗,正在采取哪些措施来防止未来仍然可能存在的数据泄露行为,以及正在采取哪些措施来减轻损害。
“自2014年以来,来自美国各地的数千名众议院议员和雇员通过DC Health Link为自己和家人注册了健康保险,”麦卡锡和杰弗里斯写道。“受影响的众议院客户的规模和范围可能非同寻常的。”
Szpindor在她的信中建议众议院成员考虑冻结他们在Equifax、Experian和TransUnion的信用,直到掌握数据泄露的范围,特别是哪些议员和工作人员的数据遭到泄露。
据CNBC报道,参议院也可能受到了该泄露行为的影响,一封电子邮件被发送到国会那一边的办公室,称参议院被执法部门告知了数据泄露行为,“数据包括全名、日期注册、关系(自己、配偶、孩子)和电子邮件地址,但没有其他个人身份信息(PII)。”
联邦调查局在向媒体发表的一份简短声明中表示,它“知道这一事件并正在提供协助。这是一项正在进行的调查。”国会警察说他们正在与联邦调查局合作。
正在出售的数据
至少有一些在数据泄露期间获取的PII进入了暗网市场。在他们的信中,麦卡锡和杰弗里斯指出,联邦调查局能够购买被窃取的PII和其他参保人信息。这些信息包括配偶和受抚养子女的姓名、社会安全号码和家庭住址。
CNBC称,一个暗网的帖子出售了17万名Health Link成员的数据,并公布了11名用户的数据作为样本。
两位众议院领导人写道:“这一数据泄露行为显着增加了议员、工作人员和他们的家人遭遇身份盗窃、金融犯罪和人身威胁的风险——这已经是一个持续存在的问题。”
他们补充说,“幸运的是,出售信息的黑客似乎并没有意识到他们所拥有的机密信息的高度敏感性,以及它与国会议员的关系。随着媒体报道更广泛地宣传这一数据泄露行为,这种情况肯定会改变。”
现在怎么办?
这些知识可能不会有太大的不同。安全软件制造商Delinea的首席安全科学家和顾问CISO约瑟夫·卡森(Joseph Carson)表示,网络罪犯并不关心他们窃取了谁的数据,只要这些数据足够敏感,可以让人们为它们付钱。
卡森称,这可能不是针对特定人群的有针对性的攻击,否则网络犯罪分子就不会如此公开,也不会出售这些记录。
“除了增加对攻击者的关注和重视,我不相信这会有什么不同。”他说。“最终,攻击者希望从这种数据盗窃中赚钱,他们并不真正关心谁是它所影响的受害者。”
尽管如此,“由于受害者的知名度很高,随着联邦调查局的介入以及该事件现在得到的关注,攻击者可能希望在一段时间内保持低调。”
Channelnomics首席研究官克里斯·贡萨尔维斯(Chris Gonsalves)表示,根据通常在这种攻击之前进行的侦察,骗子可能对目标了解很多。他们只是不关心。
Gonsalves说:“这些数据已经在暗网上出售,据我们所知,至少已经出售过一次,并且将一直如此,直到它不再有利可图。”他警告说,虽然联邦调查局很擅长调查这类案件,但这不是他们的唯一案件。他们的成功率大约是抛硬币。他们可能会在这个案子上投入更多的精力,这取决于国会的呼声有多高,但这并不是我们面前的前所未有的案例。
“这里的好消息是,这次有大嗓门和大麦克风的人受到侵害,而不仅仅是我们这些可怜的傻瓜,所以这很有可能会引起人们对问题的关注,这绝不是一件坏事。”他说,“让我们看看这能持续多久。”
近年来,医疗保健领域的组织受到越来越多的攻击,鉴于他们掌握着医生、员工和患者的大量PII和健康数据(从医疗记录到社会安全号码),这并不令人感到意外。
网络安全公司CheckPoint在一份报告中表示,2022年全球网络攻击数量同比增长38%,医疗保健、教育研究以及政府部门是前三大目标行业。