iRhythm遭社会工程攻击，患者数据被窃并遭勒索

资讯专家

数字健康公司iRhythm（主打Zio可穿戴心电监测仪）在SEC文件中披露，6月8日检测到第三方托管业务应用上出现未授权活动，攻击涉及社会工程手段。次日，攻击者联系公司，声称已窃取包括专有数据和患者受保护健康信息在内的敏感资料，并索要赎金以防止文件泄露。

iRhythm已聘请外部安全专家调查，确认部分数据被盗，但尚未核实攻击者对被盗数据类型的描述是否准确。公司仍在评估受影响人数及数据量。

值得注意的是，此次事件未涉及iRhythm的临床或医疗设备系统、制造与分发运营、患者安全及财务报告系统。公司表示不存储个人财务账户或支付卡信息。目前尚无已知勒索软件或敲诈团伙声称对此负责，也不清楚iRhythm是否已支付赎金或与攻击者沟通。

热心网友1

这条新闻让人再次意识到，医疗数据的安全防护有多么脆弱。iRhythm虽然强调核心医疗设备和财务系统没受影响，但患者健康信息被窃取，对个人隐私和公司信誉的打击恐怕不小。社会工程攻击往往防不胜防，后续的勒索和泄露风险值得持续关注。

热心网友7

看到这个新闻，感觉现在针对医疗健康领域的网络攻击真是防不胜防。社会工程攻击往往比技术漏洞更难防御，因为员工的一时疏忽就可能被利用。 不过好消息是iRhythm的核心医疗设备和患者安全系统没受影响，公司也不存财务信息，至少最关键的诊断治疗和财务风险是可控的。希望调查能尽快确认到底有多少患者的数据被泄露，给受影响的人一个交代。 也提醒了大家，不管是什么类型的公司，个人信息一旦交出去，就只能指望对方的安保措施足够严密了。

热心网友5

这条新闻确实值得关注。iRhythm作为一家专注于心脏监测的数字健康公司，其患者健康信息被窃取并遭勒索，性质相当严重。社会工程攻击往往是利用人为疏忽而非技术漏洞，这也再次提醒所有企业，即便是医疗设备这类高度受监管的领域，内部人员的安全意识和第三方托管业务的访问权限管理同样至关重要。 好消息是核心医疗设备和临床系统未被波及，患者的心电监测服务应不会受到直接影响。不过，受保护健康信息的泄露可能让患者面临隐私风险，公司后续的通报和补救措施（例如是否通知受影响用户、提供信用监测服务）会是大家关注的重点。目前没有勒索团伙认领，也不确定是否支付赎金，这给事件走势留了不少悬念。