醫療保健SaaS 提供者Welltok 警告稱，該公司使用的文件傳輸程序在一次資料竊取攻擊中被駭客入侵，導致近850 萬美國患者的個人資料外洩。Welltok 與全美的醫療服務提供者合作，維護線上健康計劃，擁有包含患者個人資料的資料庫，產生預測分析，並支持醫療保健需求，如堅持用藥和大流行病應對。

今年早些時候，Clop勒索軟體團夥利用MOVEit軟體中的零日漏洞入侵了全球數千家機構，隨後提出勒索要求並洩露數據，影響人數超過7700萬。

Welltok 於10 月底發布了一份資料事故通知，警告其MOVEit Transfer 伺服器於2023 年7 月26 日遭到入侵。儘管在供應商提供安全更新後立即進行了應用，但還是發生了這一事件。

病患資料在此次外洩事件中被曝光，其中包括全名、電子郵件地址、實際地址和電話號碼。對某些人來說，還包括社會安全號碼(SSN)、醫療保險/醫療補助ID 號碼和某些健康保險資訊。

該漏洞影響了明尼蘇達州、阿拉巴馬州、堪薩斯州、北卡羅來納州、密西根州、內布拉斯加州、伊利諾伊州和馬薩諸塞州等多個州的機構，據說以下醫療保健提供者受到了影響：

• Blue Cross and Blue Shield of Minnesota and Blue Plus
• Blue Cross and Blue Shield of Alabama
• Blue Cross and Blue Shield of Kansas
• Blue Cross and Blue Shield of North Carolina
• Corewell Health
• Faith Regional Health Services
• Hospital & Medical Foundation of Paris, Inc. dba Horizo​​​​n Health
• Mass General Brigham Health Plan
• Priority Health
• St. Bernards Healthcare
• Sutter Health
• Trane Technologies Company LLC and/or group health plans sponsored by Trane Technologies Company LLC or Trane US Inc.
• The group health plans of Stanford Health Care, of Stanford Health Care, Lucile Packard Children’s Hospital Stanford, Stanford Health Care Tri-Valley, Stanford Medicine Partners, and Packard Children’s Health Alliance
• The Guthrie Clinic

由於Welltok 沒有立即披露此訊息，因此最初估計的受影響人數不盡相同。

然而，今天早些時候，該公司在美國衛生與公眾服務部的資料外洩入口網站上報告說，資料外洩已確認影響8,493,379 人。

這數字使Welltok 資料外洩事件成為MOVEit 第二大資料外洩事件，僅次於服務承包商Maximus，後者的資料外洩事件影響1,100 萬人。