三泽托确认340万用户健康及个人信息在2024年网络攻击中被盗
美国健康科技公司三泽托(TriZetto)于2025年10月2日确认,超过340万用户的个人及健康信息在2024年遭受网络攻击后被盗。该公司向缅因州总检察长提交文件披露,黑客窃取了其服务器中的患者保险资格交易报告,内容包括姓名、出生日期、家庭住址、社会安全号码、医疗服务提供者名称、人口统计信息及医疗与保险详情。
三泽托称,其于2025年10月2日发现此次安全漏洞,但后续调查发现黑客自2024年11月起即已侵入系统,攻击持续近一年。该公司隶属于跨国集团认知公司(Cognizant),服务美国87.5万家医疗机构,覆盖约2亿用户。
多家医疗机构已确认数据受影响,包括非营利咨询机构OCHIN(为美国300家农村及社区医疗机构提供健康科技服务),以及加利福尼亚州部分医疗机构。三泽托强调并非所有客户均受波及,但未公布具体受影响客户名单或比例。
此次事件是继2024年变更医疗(Change Healthcare)遭勒索软件攻击导致1.92亿患者文件泄露后,又一重大健康科技数据泄露案。后者曾引发全美医疗系统部分瘫痪,影响患者就医及药物获取。
认知公司发言人未就为何延迟近一年才发现攻击作出回应。
编辑点评
此次三泽托数据泄露事件凸显了美国医疗健康信息系统在网络安全防护上的系统性脆弱性。作为服务2亿用户、连接87.5万家医疗机构的健康科技平台,其系统被长期侵入却未能及时发现,暴露出监控机制和应急响应能力的严重不足。该事件不仅威胁数百万民众的隐私安全,更可能助长身份盗用、医疗欺诈等犯罪行为,对医疗系统信任构成打击。
从国际视角看,美国医疗数据安全问题已成全球关注焦点。2024年变更医疗遭袭事件已引发全球对供应链安全和跨境数据流动风险的警惕。此次事件进一步凸显健康科技企业作为关键基础设施的脆弱性,可能促使美国及他国加强医疗数据保护立法与技术标准。
未来,此类事件或推动全球医疗数据加密、零信任架构及实时威胁检测技术的加速普及。同时,跨国企业如认知公司需承担更严格的合规责任,否则将面临监管处罚与声誉损失。该事件或成为全球健康科技行业加强安全治理的转折点。