一家美国医疗巨头将支付6500万美元和解,以解决由其患者提起的集体诉讼,此前,勒索软件犯罪分子窃取并泄露了其患者包括裸照在内的隐私数据。
事件背景
莱希谷健康网络(Lehigh Valley Health Network,简称LVHN)是宾夕法尼亚州最大的初级保健集团之一。此前,LVHN发现其IT系统遭到入侵,随后确认是ALPHV(又名BlackCat)黑客组织实施的攻击。
黑客窃取了134000名患者和员工的海量隐私数据,包括姓名、地址、社会保障号码、州身份证数据以及医疗记录和手术图像,攻击者要求医院支付赎金,否则将把这些隐私数据公布在网上。
根据提起的诉讼,该医疗集团经常拍摄裸露的癌症患者照片,甚至有些时候可能在患者不知情的情况下进行。医院拒绝支付BlackCat的赎金,攻击者随后将这些数据公布,受害患者对此表示十分愤怒。
诉讼细节
诉讼书中提到,“尽管LVHN公开宣传自己抵制了黑客的勒索要求,但他们实际上是在无视真正的受害者。”诉讼指出,LVHN没有站在患者的利益上考虑,而是把避免自身的财务损失放在首位。
LVHN在数日后公开了这一攻击事件,声称攻击范围有限。3月4日,ALPHV团伙在其网站上发布警告,威胁要将盗取的图像在线发布,除非LVHN支付赎金。医疗集团拒绝支付赎金,结果犯罪分子将一部分盗取的资料,包括带有个人信息的照片等上传到了暗网。
诉讼文件中记录了一名未公开身份的原告在3月6日接到医院合规副总裁的电话,通知她其裸照已被上传到网上,并笑着继续谈话,为她提供了两年的信用监控服务。这名原告回应说,她不知道医院在治疗乳腺癌期间拍摄了她的裸照,也不知道这些照片被存储在公司服务器上。
虽然LVHN通知了患者和员工关于隐私泄露的情况,但ALPHV组织继续施压,3月10日泄露了另外132GB的资料,并威胁每周都会披露更多材料,直到医院支付赎金为止。
原告律师表示,LVHN未能履行信息保护的责任义务,其行为还涉嫌违反美国《健康保险流通与问责法案》(HIPAA)。
LVHN虽然同意和解条款,但否认了其有任何不当行为。值得注意的是,LVHN在2022年7月曾遭遇类似的勒索软件攻击,影响了75628名患者。显然,该医疗集团没有采取足够的预防措施来防止再次发生这种事件,这在医疗行业中并不罕见,因为该行业是勒索软件攻击者的主要目标。
原告的法律事务所Saltz Mongeluzzi Bendesky声称,此次和解是“同类案件中按每位患者计算的最大和解金额”。受影响的数据将分为四个等级,最低等级的患者将获得50美元赔偿,而最高等级(即裸照被公开的患者)将获得70000至80000美元的赔偿(扣除律师费用后)。
值得注意的是,医院系统信息泄露遭勒索的案件在近年来频发,据公开消息可见:
Enzo Biochem因不完善的安全措施导致勒索软件威胁,被判支付450万美元。
https://www.theregister.com/2024/08/14/enzo_biochem_ransomware_fine/
攻击者入侵HealthEquity的存储系统,盗取了430万人的隐私数据。
https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/
勒索软件感染导致250多家医院血液供应中断。
https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/
伦敦医院Qilin袭击后,癌症患者被迫作出艰难决定。
https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/
文章来源:
https://www.theregister.com/2024/09/12/lvhn_lawsuit_ransom/
安全KER
安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。
注册安全KER社区
链接最新“圈子”动态