一家美国医疗巨头将支付6500万美元和解，以解决由其患者提起的集体诉讼，此前，勒索软件犯罪分子窃取并泄露了其患者包括裸照在内的隐私数据。

事件背景

莱希谷健康网络（Lehigh Valley Health Network，简称LVHN）是宾夕法尼亚州最大的初级保健集团之一。此前，LVHN发现其IT系统遭到入侵，随后确认是ALPHV（又名BlackCat）黑客组织实施的攻击。

黑客窃取了134000名患者和员工的海量隐私数据，包括姓名、地址、社会保障号码、州身份证数据以及医疗记录和手术图像，攻击者要求医院支付赎金，否则将把这些隐私数据公布在网上。

根据提起的诉讼，该医疗集团经常拍摄裸露的癌症患者照片，甚至有些时候可能在患者不知情的情况下进行。医院拒绝支付BlackCat的赎金，攻击者随后将这些数据公布，受害患者对此表示十分愤怒。

诉讼细节

诉讼书中提到，“尽管LVHN公开宣传自己抵制了黑客的勒索要求，但他们实际上是在无视真正的受害者。”诉讼指出，LVHN没有站在患者的利益上考虑，而是把避免自身的财务损失放在首位。

LVHN在数日后公开了这一攻击事件，声称攻击范围有限。3月4日，ALPHV团伙在其网站上发布警告，威胁要将盗取的图像在线发布，除非LVHN支付赎金。医疗集团拒绝支付赎金，结果犯罪分子将一部分盗取的资料，包括带有个人信息的照片等上传到了暗网。

诉讼文件中记录了一名未公开身份的原告在3月6日接到医院合规副总裁的电话，通知她其裸照已被上传到网上，并笑着继续谈话，为她提供了两年的信用监控服务。这名原告回应说，她不知道医院在治疗乳腺癌期间拍摄了她的裸照，也不知道这些照片被存储在公司服务器上。

虽然LVHN通知了患者和员工关于隐私泄露的情况，但ALPHV组织继续施压，3月10日泄露了另外132GB的资料，并威胁每周都会披露更多材料，直到医院支付赎金为止。

原告律师表示，LVHN未能履行信息保护的责任义务，其行为还涉嫌违反美国《健康保险流通与问责法案》（HIPAA）。

LVHN虽然同意和解条款，但否认了其有任何不当行为。值得注意的是，LVHN在2022年7月曾遭遇类似的勒索软件攻击，影响了75628名患者。显然，该医疗集团没有采取足够的预防措施来防止再次发生这种事件，这在医疗行业中并不罕见，因为该行业是勒索软件攻击者的主要目标。

原告的法律事务所Saltz Mongeluzzi Bendesky声称，此次和解是“同类案件中按每位患者计算的最大和解金额”。受影响的数据将分为四个等级，最低等级的患者将获得50美元赔偿，而最高等级（即裸照被公开的患者）将获得70000至80000美元的赔偿（扣除律师费用后）。

Enzo Biochem因不完善的安全措施导致勒索软件威胁，被判支付450万美元。

https://www.theregister.com/2024/08/14/enzo_biochem_ransomware_fine/

攻击者入侵HealthEquity的存储系统，盗取了430万人的隐私数据。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

勒索软件感染导致250多家医院血液供应中断。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

伦敦医院Qilin袭击后，癌症患者被迫作出艰难决定。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

文章来源：

https://www.theregister.com/2024/09/12/lvhn_lawsuit_ransom/