在黑客入侵 Change Healthcare 系统窃取并加密公司数据两个月后,仍不清楚有多少美国人受到了网络攻击的影响。上个月,Change Healthcare 的母公司联合健康集团(UnitedHealth Group)首席执行官安德鲁-威蒂(Andrew Witty)表示,被盗文件包括"美国相当一部分人"的个人健康信息。
本周三,在众议院听证会上,威蒂被要求给出一个更明确的答案,他作证说,"我想,可能有三分之一(美国人)或类似水平的人受到了影响"。
威蒂说,他不愿意给出更准确的答案,因为公司仍在调查此次漏洞事件,并试图弄清楚到底有多少人受到了影响。
UnitedHealth 的发言人 Anthony Marusic 没有立即回应就威蒂的估计发表评论的请求。
在周三早些时候举行的参议院听证会上,威蒂说,公司可能需要"几个月的时间"才能开始通知数据泄露事件的受害者。
他在两场听证会前提交的一份书面声明中写道,"到目前为止,我们还没有看到数据中存在医生病历或完整病史等材料外流的证据"。
根据威蒂的证词,黑客"使用被泄露的凭证远程访问了 Change Healthcare Citrix 门户网站",该门户网站没有受到多因素身份验证的保护,而多因素身份验证是一种基本的网络安全措施,它为登录账户和系统增加了一个额外的步骤。
如果该门户网站启用了多因素身份验证,漏洞可能就不会发生。几位参议员就这一故障质问威蒂,问他 UnitedHealth 和 Change Healthcare 系统现在是否有多因素身份验证保护。
在参议院听证会上,威蒂说:"我们在全组织范围内推行了一项政策 在我们所有的外部系统上实行多因素身份验证。"
截至本文发稿时,众议院听证会正在进行中,我们将在获得更多信息后及时更新。