美医疗巨头泄露超10万患者隐私数据并拒绝勒索,遭集体诉讼,面临6500万美元赔偿
清风  2024-09-13 11:38  发布于中国

一家美国医疗巨头将支付6500万美元和解,以解决由其患者提起的集体诉讼,此前,勒索软件犯罪分子窃取并泄露了其患者的隐私数据。

 

事件背景

 

莱希谷健康网络(Lehigh Valley Health Network,简称LVHN)是宾夕法尼亚州最大的初级保健集团之一。此前,LVHN发现其IT系统遭到入侵,随后确认是ALPHV(又名BlackCat)黑客组织实施的攻击。

 

黑客窃取了134000名患者和员工的海量隐私数据,包括姓名、地址、社会保障号码、州身份证数据以及医疗记录和手术图像,攻击者要求医院支付赎金,否则将把这些隐私数据公布在网上。

 

根据提起的诉讼,该医疗集团经常拍摄癌症患者隐私照片,甚至有些时候可能在患者不知情的情况下进行。医院拒绝支付BlackCat的赎金,攻击者随后将这些数据公布,受害患者对此表示十分愤怒。

 

诉讼细节

 

诉讼书中提到,“尽管LVHN公开宣传自己抵制了黑客的勒索要求,但他们实际上是在无视真正的受害者。”诉讼指出,LVHN没有站在患者的利益上考虑,而是把避免自身的财务损失放在首位。

 

LVHN在数日后公开了这一攻击事件,声称攻击范围有限。3月4日,ALPHV团伙在其网站上发布警告,威胁要将盗取的图像在线发布,除非LVHN支付赎金。医疗集团拒绝支付赎金,结果犯罪分子将一部分盗取的资料,包括带有个人信息的照片等上传到了暗网。

 

诉讼文件中记录了一名未公开身份的原告在3月6日接到医院合规副总裁的电话,通知她其隐私照片已被上传到网上,并笑着继续谈话,为她提供了两年的信用监控服务。这名原告回应说,她不知道医院在治疗乳腺癌期间拍摄了她的隐私照片,也不知道这些照片被存储在公司服务器上。

 

虽然LVHN通知了患者和员工关于隐私泄露的情况,但ALPHV组织继续施压,3月10日泄露了另外132GB的资料,并威胁每周都会披露更多材料,直到医院支付赎金为止。

 

原告律师表示,LVHN未能履行信息保护的责任义务,其行为还涉嫌违反美国《健康保险流通与问责法案》(HIPAA)。

 

LVHN虽然同意和解条款,但否认了其有任何不当行为。值得注意的是,LVHN在2022年7月曾遭遇类似的勒索软件攻击,影响了75628名患者。显然,该医疗集团没有采取足够的预防措施来防止再次发生这种事件,这在医疗行业中并不罕见,因为该行业是勒索软件攻击者的主要目标。

 

原告的法律事务所Saltz Mongeluzzi Bendesky声称,此次和解是“同类案件中按每位患者计算的最大和解金额”。受影响的数据将分为四个等级,最低等级的患者将获得50美元赔偿,而最高等级(即隐私照片被公开的患者)将获得70000至80000美元的赔偿(扣除律师费用后)。

 

值得注意的是,医院系统信息泄露遭勒索的案件在近年来频发,据公开消息可见:

 

Enzo Biochem因不完善的安全措施导致勒索软件威胁,被判支付450万美元。

https://www.theregister.com/2024/08/14/enzo_biochem_ransomware_fine/

 

攻击者入侵HealthEquity的存储系统,盗取了430万人的隐私数据。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

 

勒索软件感染导致250多家医院血液供应中断。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

 

伦敦医院Qilin袭击后,癌症患者被迫作出艰难决定。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

 

文章来源:

https://www.theregister.com/2024/09/12/lvhn_lawsuit_ransom/

 

文章转载自:安全客

全部回复(
回复
回复