医疗科技企业CareCloud遭网络攻击 患者电子病历数据遭非法访问
美国医疗技术公司CareCloud于2026年3月24日向美国证券交易委员会(SEC)提交报告,确认其系统于3月16日遭遇未经授权的访问,黑客入侵了其六个患者医疗记录存储环境之一,持续时间超过八小时。
公司表示,目前尚不清楚黑客是否已窃取数据,或具体涉及哪些类型的数据。CareCloud称,已当日恢复系统运行,并断定黑客不再存在于其网络中,同时已聘请一家未具名的网络安全公司展开调查。
CareCloud未公布受影响患者人数。根据其3月份向投资者提交的年度报告,该公司为超过45,000家医疗机构提供服务,包括数千家医院和诊所,覆盖数百万患者。
该公司主要将数据托管于亚马逊云服务(AWS)平台。其SEC披露文件指出,该事件于3月24日被认定为可能对业务产生重大影响,因此依法必须向投资者通报。CareCloud表示,此次事件对财务状况影响有限,但调查仍在进行中。
此前,2024年俄罗斯网络犯罪团伙曾对Change Healthcare发动勒索软件攻击,导致美国大量医疗记录被窃取,医疗系统瘫痪数月,凸显医疗数据系统面临的安全威胁。
目前尚无证据表明CareCloud遭遇数据破坏或收到勒索要求。公司发言人未回应媒体置评请求。TechCrunch记者已就数据存储架构等问题向CareCloud提出询问,待后续跟进。
编辑点评
此次CareCloud数据泄露事件凸显全球医疗信息系统面临的严峻网络安全挑战。作为为数万医疗机构提供电子健康记录服务的平台,其系统一旦被攻破,可能影响数百万患者隐私安全,引发连锁反应。在数字化医疗普及背景下,医疗数据已成为网络犯罪分子的高价值目标,勒索软件攻击频发,不仅威胁个人隐私,也可能导致医疗服务中断,影响公共健康。
国际社会正日益关注医疗数据保护立法与技术规范,如欧盟《通用数据保护条例》(GDPR)和美国《健康保险流通与责任法案》(HIPAA)。此次事件将再次推动各国强化医疗数据跨境存储安全标准,特别是云服务提供商如AWS的合规性审查。此外,事件或促使更多医疗机构重新评估其第三方服务商的安全协议。
从长远看,此类事件可能加速医疗行业向零信任架构、端到端加密和主动防御系统转型。同时,公众对医疗数据安全的信任度可能下降,进而影响数字化医疗服务的普及进程。若CareCloud后续确认数据被窃取,可能面临重大法律诉讼和监管处罚,其商业信誉和股价也可能受挫。