美医疗巨头泄露超10万患者隐私数据并拒绝勒索,遭集体诉讼,面临6500万美元赔偿
2024-9-12 17:53:45 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

一家美国医疗巨头将支付6500万美元和解,以解决由其患者提起的集体诉讼,此前,勒索软件犯罪分子窃取并泄露了其患者包括裸照在内的隐私数据。

NEWS

事件背景

莱希谷健康网络(Lehigh Valley Health Network,简称LVHN)是宾夕法尼亚州最大的初级保健集团之一。此前,LVHN发现其IT系统遭到入侵,随后确认是ALPHV(又名BlackCat)黑客组织实施的攻击。

黑客窃取了134000名患者和员工的海量隐私数据,包括姓名、地址、社会保障号码、州身份证数据以及医疗记录和手术图像,攻击者要求医院支付赎金,否则将把这些隐私数据公布在网上。

根据提起的诉讼,该医疗集团经常拍摄裸露的癌症患者照片,甚至有些时候可能在患者不知情的情况下进行。医院拒绝支付BlackCat的赎金,攻击者随后将这些数据公布,受害患者对此表示十分愤怒。

NEWS

诉讼细节

诉讼书中提到,“尽管LVHN公开宣传自己抵制了黑客的勒索要求,但他们实际上是在无视真正的受害者。”诉讼指出,LVHN没有站在患者的利益上考虑,而是把避免自身的财务损失放在首位。

LVHN在数日后公开了这一攻击事件,声称攻击范围有限。3月4日,ALPHV团伙在其网站上发布警告,威胁要将盗取的图像在线发布,除非LVHN支付赎金。医疗集团拒绝支付赎金,结果犯罪分子将一部分盗取的资料,包括带有个人信息的照片等上传到了暗网。

诉讼文件中记录了一名未公开身份的原告在3月6日接到医院合规副总裁的电话,通知她其裸照已被上传到网上,并笑着继续谈话,为她提供了两年的信用监控服务。这名原告回应说,她不知道医院在治疗乳腺癌期间拍摄了她的裸照,也不知道这些照片被存储在公司服务器上。

虽然LVHN通知了患者和员工关于隐私泄露的情况,但ALPHV组织继续施压,3月10日泄露了另外132GB的资料,并威胁每周都会披露更多材料,直到医院支付赎金为止。

原告律师表示,LVHN未能履行信息保护的责任义务,其行为还涉嫌违反美国《健康保险流通与问责法案》(HIPAA)。

LVHN虽然同意和解条款,但否认了其有任何不当行为。值得注意的是,LVHN在2022年7月曾遭遇类似的勒索软件攻击,影响了75628名患者。显然,该医疗集团没有采取足够的预防措施来防止再次发生这种事件,这在医疗行业中并不罕见,因为该行业是勒索软件攻击者的主要目标。

原告的法律事务所Saltz Mongeluzzi Bendesky声称,此次和解是“同类案件中按每位患者计算的最大和解金额”。受影响的数据将分为四个等级,最低等级的患者将获得50美元赔偿,而最高等级(即裸照被公开的患者)将获得70000至80000美元的赔偿(扣除律师费用后)。

值得注意的是,医院系统信息泄露遭勒索的案件在近年来频发,据公开消息可见:

Enzo Biochem因不完善的安全措施导致勒索软件威胁,被判支付450万美元。

https://www.theregister.com/2024/08/14/enzo_biochem_ransomware_fine/

攻击者入侵HealthEquity的存储系统,盗取了430万人的隐私数据。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

勒索软件感染导致250多家医院血液供应中断。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

伦敦医院Qilin袭击后,癌症患者被迫作出艰难决定。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

文章来源:

https://www.theregister.com/2024/09/12/lvhn_lawsuit_ransom/

安全KER

安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。

注册安全KER社区

链接最新“圈子”动态


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649786870&idx=1&sn=95618e281cfc2465d131624185fe51f8&chksm=8893b999bfe4308f5a6dd3941f9d130a4314d85ab776fa107521641e5262a177a5b2cca9bfd8&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh