当Heartbleed OpenSSL漏洞在4月份被发现时，安全社区很多专家都警告说，该漏洞可能被用来暴露敏感数据，尽管当时还没有证据证明攻击者正在积极利用Heartbleed漏洞。而现在，一家信息安全咨询公司警告称，在最近的Community Health Systems公司的数据泄漏事故中，Heartbleed漏洞可能被作为最初的攻击向量。

Community Health在美国29个州经营着超过200家医院，该公司在本周提交给美国证券交易委员会的申报表8-K中称，攻击者在4月和6月攻击了其安全系统，泄露了450万病人受HIPAA保护的数据。根据该申报表显示，这些数据包括个人信息，例如姓名、生日、联系方式和社会安全号码，但该医疗服务提供商强调医疗信息和信用卡信息并未受到影响。

Community Health还指出他们已经聘请外部取证公司Mandiant来协助调查。Mandiant认为该泄漏事故与中国黑客组织“APT-18”有关，但并没有提供进一步的详细信息，例如攻击者所使用的战术或者为什么他们窃取个人资料，而不是有价值的知识产权信息，这是攻击组织的典型目标。

信息安全咨询公司TrustedSec LLC在博客文章中称，Community Health泄漏事故背后的攻击者利用Heartbleed来在该公司的网络获得立足之地。TrustedSec表示这个信息来自参与该泄漏事故调查中匿名人士，而在接受彭博社的采访时，该公司创始人兼首席安全顾问David Kennedy表示三位不愿意透露姓名的人士告诉了他这个信息。

根据TrustedSec表示，这是迄今为止第一个使用Heartbleed漏洞作为数据泄漏事故的初始向量的实例。在Heartbleed被公布后不久，涉及该漏洞的安全事故并不多。CloudFlare、Akamai和其他公司的研究人员随后证实，Heartbleed确实可以被用来收集私有SSL密钥和其他敏感数据，不过非常耗时间。

该TrustedSec博客文章解释说，Community Health的攻击者能够从该公司网络中的一台瞻博网络设备（当时未打补丁）获取用户登录凭证，然后他们能够登录到Community Health VPN。

“从那里，攻击者通过其他攻击手段来深入到网络，直到从数据库获取约450万病人的记录，”TrustedSec在博客文章中写道，“这并不奇怪，因为如果能够内部访问到任何计算机网络，攻击者几乎可以100%成功地攻入系统和进一步访问。”

目前有几个瞻博网络受到Heartbleed漏洞的影响，包括多个版本的SSL VPN和利用Junos OS 13.3R1的产品，但该公司在该OpenSSL漏洞被公开后不久就修复了这些产品。TrustedSec并没有进一步说明该漏洞事故中涉及哪个瞻博网络的产品，也没有透露该设备在多久时间内未修复补丁，他们只是表示，该事故原本可以通过使用补偿性控制直到补丁出现来避免。

“在攻击发生时，能够检测和响应攻击是制定事件响应和快速缓解威胁的关键，TrustedSec在博客文章中总结道，“我们在这里可以学到的是，当出现Heartbleed这样的漏洞时（虽然很少），我们需要专注于毫不拖延地立即解决安全问题。”