一男子因窃取UPMC 6.5万名医护人员个人信息，被判入狱7年

据bleeping computer网站披露，因2014年入侵医疗保健提供商匹兹堡大学医疗中心(UPMC)，名为Justin Sean Johnson攻击者被判处七年监禁。

窃取大量员工信息

UPMC是宾夕法尼亚州最大的医疗保健提供商，拥有9万多名员工，在40家医院和700家医生办公室和门诊点工作。

Johnson在侵入UPMC的人力资源数据库后，窃取了超过6.5万名员工的个人身份信息(PII)和W-2信息(包括姓名、社会保险号码、地址和工资信息)后，在暗网上出售。

2020年，在一份四十三项罪名的起诉书中，Johnson被指控共谋、电信欺诈和严重的身份盗窃。一年后，他承认了窃取和出售数万名UPMC员工的PII和W2信息的罪行。

美国代理检察官考夫曼周一称："Johnson窃取了数以万计的UPMC员工的姓名、社会安全号码、地址和工资信息，然后在暗网上出售这些个人信息，以便其他犯罪分子能够进一步利用这些信息进行欺诈行为，对Johnson的审判传递了一个威慑信息，进行黑客攻击会给自身带来严重的结果。

进一步诈骗和盗窃的大规模运动

早在2013年12月上旬，Johnson在入侵医疗保健提供商的Oracle PeopleSoft人力资源管理系统后，就展开了对UPMC网络的入侵工作。当天，在对受感染的HR数据库运行测试查询后，他获得了大约 23500 名 UPMC 员工的 PII。

2014年1月21日至2月14日期间，在多次查询数据库后，又窃取了数万名UPMC员工的PII。

随后，Johnson在暗网上出售了被盗UPMC员工的PII，这些信息被购买者用来提交数百份虚假的1040报税表，并申请约170万美元的虚假退税，这些退税被转换成Amazon.com礼品卡。

暗网市场广告

在随后的2014年至2017年期间，Johnson共出售了近9万份PII数据(包含非UPMC)，这些数据被这用于身份盗窃和银行欺诈。

国税局刑事调查代理特工尤里·克鲁蒂称，Johnson这样的犯罪行为会对无辜人民的生活，产生持久和毁灭性的影响，现在的判决能够对其他攻击者起到威慑作用。

参考文章：

https://www.bleepingcomputer.com/news/security/man-gets-7-years-in-prison-for-hacking-65k-health-care-employees/

鸿蒙官方战略合作共建――HarmonyOS技术社区