PFC(Professional Finance Company,Inc.)是一家总部位于美国科罗拉多州的债务催收公司,和“数千家”机构合作处理客户和病人的未付账单和未偿余额。在 7 月 1 日,官方发布新闻稿承认过去数月持续遭到勒索软件,最早可以追溯到今年 2 月。
PFC 虽然在美国的知名度并不高,但它服务于数百家美国医院和医疗机构,因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。
PFC 表示本次数据泄漏将影响 650 家医疗提供商,黑客获取了患者名称、家庭住址、尚未偿还的结算金额和其他金融信息。PFC 表示部分数据还涉及患者的出生日期、身份证号码、医疗保险、药物救治等信息。
在提交给美国卫生与公众服务部的文件中,PFC 确认本次勒索软件攻击至少影响了 191 万患者。至少两家采用 PFC 系统的医疗机构出现了数据泄露,位于美国 Delaware 的 Bayhealth Medical Center 有 17481 名患者数据泄漏,在 Texas 的 Bayhealth Medical Center 有 1159 名患者信息被泄漏。
包括 TechCrunch 在内的多家媒体尝试联系 PFC 的首席执行官 Michael Shoop,但是均未得到恢复。公司总顾问 Nick Prola 出面回答了诸多媒体的询问,但是回答都是公文化的,并拒绝回答媒体的指定问题。这些问题包括公司在今年 2 月就已发现,为何在过去 4 个月时间里并没有通知受到影响的医疗服务提供商,以及被窃取的数据是否经过加密。