美国最大医保公司遭数据泄露:1.8万用户受影响

上个月24日时，美国最大的医保公司Anthem向美国卫生和公共服务办公室报告了关于数据泄漏的事件，该办公室将依据2009年颁布的HITECH法案追踪这一数据泄露事件。

据Anthem方面表示，此次的数据泄露事件衍生于第三方公司LaunchPoint Ventures在2016年发生的数据泄露事件，该公司主要为Anthem提供保险调解服务。

而LaunchPoint于上周时表示，公司的一名员工在2016年07月08日时向自己的个人邮箱发送了一份文件，该文件内包含有Anthem的会员信息，但直到这一事件发生后的第10个月，也就是今年4月份时，LaunchPoint才知道了有这件事儿的发生。

LaunchPoint表示，在知晓这一事件后立即刚这名员工进行了解雇并送到了监狱中，目前公司正在调查一起不相干的事件，而他可能与身份盗窃活动有关：LaunchPoint公司了解到，这名员工牵涉到了今年4月份的一次偷盗活动，这一活动在一个月后才被公司知晓，同时，某些并非Anthem的数据可能在其任职期间也被恶意使用了！

LaunchPoint公司同时也在今年6月中旬时证实了，这名员工向自己的个人邮箱里发送的文件中包含有Anthem的会员信息，比如说会员的医疗身份号码、社保号、健康计划身份号码、医疗合同号码以及投保信息等敏感的医疗信息，部分会员的姓名和出生日期也包含其中被一同泄漏。

Anthem方面在上周一时表示，这起事件可能会影响到公司的18,580名医疗会员，尽管这些受到影响的会员目前已得到了相关的通知。

虽然表面上看起来，这一数据泄漏事件并非Anthem的失误所为；尽管LaunchPoint公司也表示正在和执法部门协调进行调查，并且愿意为受害者提供为期两年的信用监控服务和身份盗取恢复服务；尽管Anthem在今年6月份时表示，愿意支付1.15亿美元跟2015年影响7900万用户的数据泄露相关的事宜。

但笔者认为，Anthem依旧脱不了干系，首先来说，LaunchPoint公司所属的员工泄漏Anthem会员信息达10个月后，才被知晓，而且如果不是牵涉了另外一桩偷盗活动的话，这一信息泄漏事件不知道什么时候才会被发觉，可见，Anthem在选择合作伙伴上和对合作伙伴的日常工作监控中存在一定的纰漏！

同时，在以往分析信息泄漏时间的时候，笔者多次提到的一个概念就是内鬼作案，58同城内鬼窃卖千余账户的案例就非常的典型；智联招聘员工廉价偷卖15.5万份简历亦是内鬼作案；房产中介出售10万条业主信息不还是内鬼作案么。

因此，最坚固的堡垒都是从内部攻破的，培养良好的职业习惯和填补信息安全管理上的责任漏洞显得尤为重要！