由于涉及个人隐私，这类数据在黑市上的成交价格通常高于其他数据。近日，专门从事医疗软件研发的 Cegedim 公司遭到了大规模个人信息窃取。

在 10 月 27 日接到报案后，巴黎检察官办公室已开启司法调查，并交由网络犯罪打击大队（BL2C）负责。以下是该事件的关键点。

一名代号为 Ezx 的黑客首先在 Breach Forums 论坛上宣称，他通过 Cegedim 公司旗下的“我的医疗软件”（Mon Logiciel Médical，简称 MLM）窃取并出售个人数据。随后，知名的亲俄黑客组织 DumpSec 在暗网解释称，该数据库其实是他们最先提取的，后来被 Ezx 盗走。

根据目前掌握的情况，攻击者疑似利用了一名医生的登录凭证，进入了一个受保护的管理后台页面。

黑客有时会利用已泄露的其他数据库进行关联攻击。因此，不能排除由于医生在其他平台泄露的邮箱和密码被黑客“撞库”成功的可能性。进入系统后，黑客利用计算机代码进行了“抓取”（Scraping），即自动化的大规模数据提取。

目标软件的发行商 Cegedim Santé 承认，其服务器在 2025 年底遭到了针对 1500 名医生的泄露攻击，导致患者个人数据被提取。

据法国电视二台（France 2）周四晚间的报道，受影响人数可能高达 1500 万人。该公共频道称，极具针对性的精确数据目前在网上“公开可见”，其中甚至包括一些高级别政治领导人的信息。

被挂牌出售的数据库包含数百万行信息。根据我们查阅的样本，泄露内容主要为行政管理数据：

这些个人信息极易被整合并用于创建用户画像，从而进行网络诈骗。

部分就诊记录可以追溯到 2014 年，甚至有些患者的记录可追溯至 2000 年代初。卫生部对此保证：“目前没有泄露任何医疗文件，如处方或生物检测报告。”

然而，卫生部也指出，有 16.9 万份患者档案包含医生录入的备注信息。这些笔记可能涉及病史、性取向或性暴力史等极度敏感的内容。

由于涉及个人隐私保护，目前不存在合法的公开查询引擎。法律规定，软件发行商有义务个别通知受影响的间接受害者——即首先通知全科医生，再由医生通知其患者。

巴黎全科医生 Richard Handschuh 博士（他不在受影响的 1500 名专业人士之列）抱怨道：“泄露发生在去年年底，但他们直到电视报道出的第二天，才通知客户。他们本该更主动一些。”

法国国家信息自由委员会（Cnil）也可以对沟通不力的情况进行制裁，就像之前对电信运营商 Free 的处理一样。

自 2016 年起，法国《公共卫生法》规定，任何数据存储公司都必须获得“相关许可或认证”。该集团旗下的子公司 Cegedim.cloud 在法国运营着五个数据中心，并拥有强制性的医疗数据托管商（HDS）认证。从逻辑上讲，医疗数据应与行政数据隔离开来。

此外，Cegedim 公司曾在 2024 年因在与医生的研究中使用了未经脱敏且未预先声明的医疗数据，被处以 80 万欧元的罚款。