警钟敲响！因勒索攻击泄露患者敏感数据，这家医疗巨头赔偿超4.6亿元

近些年，数据泄露事件频繁发生，医疗行业更是如此。相关部门对医疗数据的安全提出了各种规范和要求，但现实情况是，在具体执行时，很多基层数据管理部门并不是真的重视，因此，难免会出现各种泄露。可是，由于医疗数据的特殊性和敏感性，使得勒索黑客对医疗数据特别感兴趣，而有些医疗机构天真地认为，只要交了赎金，系统数据恢复可用就万事大吉了。可实际上，每一个勒索攻击必然伴随着数据泄露，而且基本是全量数据，其后续危害性会更大。今天就来看一个医疗行业的例子，在被勒索攻击后，为数据泄露而支付高达4.6亿元的赔偿。

近日，一家美国医疗巨头将支付6500万美元（约合人民币4.6亿元），以了结其患者发起的集体诉讼。这些患者的数据被勒索软件犯罪分子窃取，泄露的数据中包括患者的裸露照片，且至少部分已被公开发布到网上。

利哈伊谷健康网络（Lehigh Valley Health Network，简称LVHN）是美国宾夕法尼亚州最大的初级医疗集团之一。该机构于2023年2月6日发现其IT系统遭受入侵，随后确认臭名昭著的ALPHV（又称BlackCat）团伙是这次攻击的幕后黑手。

勒索者共窃取了13.4万名患者和员工的相关数据，数据量达数GB。这些被窃取的数据包括姓名、地址、社会安全号码、州ID信息，以及医疗记录和手术照片。勒索者要求LVHN支付赎金，否则将这些信息泄露到网上。

起诉书揭示LVHN数据违规状况

根据随后对LVHN提起的诉讼，该医院长期以来拍摄癌症患者的裸照。在某些情况下，甚至未经患者知晓。

由于LVHN拒绝向BlackCat支付赎金，犯罪分子将部分资料发布到了网上，引发了客户的极大愤怒。

起诉书中指出：“虽然LVHN公开宣称他们勇敢地对抗了这些黑客，拒绝支付赎金，但实际上，他们忽视了真正的受害者。LVHN并未优先考虑患者的利益，而是将自身的经济利益置于首位。”

2023年2月20日，LVHN公开披露了这次攻击，并声称其影响范围有限。

3月4日，ALPHV团伙在其网站上发布了警告，威胁如果LVHN不支付赎金，他们将在线发布被盗的照片。LVHN拒绝了这一要求，犯罪分子遂将部分窃取的资料上传至其暗网门户，其中包括带有个人身份信息的照片。

法庭文件显示，一名未具名的原告于3月6日接到医院合规副总裁的电话，得知她的裸照已被上传到网上。随后，这位副总裁“笑呵呵”地提供了两年的信用监控服务。这位匿名原告表示，她并不知情医院在她接受乳腺癌治疗时拍摄了她的裸照，更不清楚这些照片被存储在医院的企业服务器上。

尽管LVHN已通知客户和员工有关隐私泄露的情况，但ALPHV团伙继续加大压力，3月10日再次泄露了132GB的数据，并威胁将每周继续泄露，直到赎金支付为止。

法庭文件未提及LVHN最终是否支付了赎金，LVHN及其法律团队也未回应记者的相关询问。

此次和解金额（按每人计算）或为医疗数据泄露案件最高

原告律师指出，医院未能履行其保护信息的责任，其行为还涉嫌违反了美国《健康保险可携性与责任法案》（HIPAA）。

尽管LVHN同意了和解条款，但他们否认有任何不当行为。

值得注意的是，LVHN在这一领域已有类似的经历。早在2022年7月，该医疗集团曾确认遭受过一次类似的勒索软件攻击，影响了75628名患者。LVHN似乎未能采取足够的预防措施，防止类似事件再次发生，而在医疗行业中，医院本就是勒索软件的主要目标之一。

2023年3月，原告们正式对LVHN提起集体诉讼，指控这家医疗机构未能妥善保护患者数据。

2024年9月11日，原告代理律师事务所Saltz Mongeluzzi Bendesky宣布，已与LVHN就此集体诉讼达成6500万美元的和解。这家律所指出，“如果按每位患者计算，和解金额是医疗数据泄露勒索软件案件中最高的”。

那些数据被公开发布到网上的患者被分为四个等级。如果和解获得批准，最低等级的患者将获得每人50美元的赔偿。而最高等级（那些裸照被泄露的患者）在扣除律师费后，将获得7万至8万美元不等的赔偿。

凡是收到LVHN通知信的个人都将被视为集体诉讼的一部分，并自动获得赔偿，无需采取任何额外行动。

这笔和解的最终批准听证会已定于2024年11月15日举行。

来源：安全内参，参考资料：https://www.theregister.com/2024/09/12/lvhn_lawsuit_ransom/