事件调查显示，攻击者通过弱密码或社会工程手段获取诊所职员邮箱凭证后，利用其可信身份向数百名患者及合作方发送含恶意链接的邮件。尽管未发现大规模医疗数据外泄，但监管机构认定该诊所违反《通用数据保护条例》（GDPR）第32条关于“适当技术和组织措施”的要求，因其既未部署多因素认证（Multi-Factor Authentication, ...