在数字数据管理和用户隐私方面,心怀不满的前员工可能会因为种种原因而成为威胁。2023 年 11 月就发生了这样一起事件,微软作为一家大型医疗保健提供商所使用的生物识别公司的所有者,间接卷入其中。
美国医疗服务提供商之一 Geisinger Health 在一名 Nuance 前员工未经授权访问患者数据后,遭遇了一起棘手的安全漏洞。数十万人的敏感信息可能已被窃取,但目前尚不清楚滥用的程度。
Nuance 是一家语音识别公司,于 2021 年被微软以 197 亿美元收购,该公司为 Geisinger 提供 IT 服务,Geisinger 运营着 13 家医院系统,为 60 多万商业和政府会员提供服务。该安全事件发生在 11 月,Nuance 立即向 Geisinger 通报了该前员工的不当访问行为。
两家公司都展开了调查,并根据美国执法机构的要求推迟通知受影响的患者,直到现在。Nuance 的调查证实,这名前员工"可能访问并获取了"与 Geisinger 服务的 100 多万名患者相关的信息。
Geisinger 证实,被盗数据因患者而异,但可能包括姓名、出生日期、地址、医疗记录编号、种族、性别、电话号码等。该公司表示,没有保险、信用卡、银行账户或其他财务信息被"不当访问"。
Nuance 在发现漏洞后很快将这名前员工从其系统中删除,该人已被联邦当局逮捕。Geisinger 的首席隐私官 Jonathan Friesen 强调,患者隐私是公司的"头等大事",Geisinger 正在与当局密切合作,以完成正在进行的调查。
Nuance 此前曾被指控对前员工可能仍拥有的访问权限管理不当。自从三年前成为微软的一部分后,Nuance 的安全问题现在直接影响到其母公司。首席执行官萨蒂亚-纳德拉(Satya Nadella)最近表示,运营安全是公司的首要任务。