Oracle
Bleeping Computer報導,甲骨文旗下健康部門(Oracle Health)疑似今年2月系統被駭,導致涉及美國當地多家醫院、為數不詳的病患資訊外洩。已有數家醫院遭到勒索,而且甲骨文從通知到應對客戶的態度讓客戶頗感不滿。
媒體報導,多家醫院接獲甲骨文電子郵件告知,其雲端電子病歷系統(Cerner)遭駭,且可能有病患資料外流。2025年2月20日甲骨文發現電子病歷系統Cerner一臺未移轉到Oracle Cloud雲端平臺的舊伺服器遭未經授權存取,並且將資料複製到一臺遠端伺服器上。甲骨文分析後研判,攻擊者是在今年1月22日之後利用一名外流的客戶憑證成功存取甲骨文伺服器。外洩資料可能包含儲存在Cerner電子病歷系統中的病患資訊。
Cerner原是美國雲端電子健康紀錄或電子病歷(electronic health/medical record,EHR/EMR)平臺供應商,在2022年為甲骨文收購並整併進甲骨文健康(Oracle Health)事業群中。收購Cerner也讓甲骨文獲得醫療資訊的專業,推出雲端病歷方案,還在和OpenAI合作的AI投資Project Stargate中納入以AI進行健康分析和監控的規劃。
雖然甲骨文語帶模糊,但多名消息人士向媒體證實,的確有病患資訊遭竊。此外,多家醫院遭到一名為Andrew的人士勒索價值數百萬美元的加密貨幣,否則將把病患資訊公布在網路上。
除了系統被駭導致醫院儲存在Cerner的病患資訊外流,報導指出,甲骨文還有其他作法令客戶不滿。首先,這封信件雖然有Oracle Health總經理Seema Verma的簽名,但是以一般電子郵件格式寄送,沒有甲骨文官方信頭,看來很可疑。此外,甲骨文並沒有透明的聯繫管道,醫院客戶想聯繫甲骨文時,不能以可作為證據的電子郵件聯繫,而只能打電話並轉給甲骨文資安長(CISO)。
本次事件是單純資料存取或是否涉及勒索軟體,甲骨文皆未說明,也未提供醫院客戶清楚的行為指引。
最可議的一點是,甲骨文願意承擔金錢支出,但不願聯繫使用者。甲骨文在信件中告知醫院客戶,判斷被竊資料是否違反美國醫療法令HIPAA是醫院的責任,而且該公司並不直接通知資料外洩的病患本人,得要醫院自己寄通知給病患,但說他們會協助辨識是哪些病患受影響,並且提供通知的寫作範本。甲骨文也說會負擔身份資料外洩追蹤服務的費用。
彭博則引述不具名的甲骨文員工說,不只是電子病歷,有些客戶在主機上還代管了其他系統如HR或財務資料。但連員工也好幾天無法存取客戶環境,無法確認是否有駭客或是客戶存取了那些資料。
甲骨文之所以不想直接面對使用者,是因為一旦使用者提起告訴,恐怕會導致數以百萬美金計的賠償。
上周甲骨文Oracle Cloud也發生疑似用戶資料外洩。一名駭客宣稱手上握有來自Oracle Cloud的600萬筆資料,包含單一簽入(SSO)及LDAP的帳密資料。但是甲骨文否認公司系統被駭。
