因遭勒索软件泄露超近250万人临床信息，这家生物公司赔偿5400万元

恩佐生化（Enzo Biochem）公司于1月15日晚向美国证券交易委员会提交报告，宣布已达成和解协议，结束相关的民事诉讼。

这起攻击发生在2023年4月，攻击者未经授权访问并获取了约247万人的临床测试信息。尽管公司持续运营，但在2023年4月11日，公司发现攻击者已访问了包括姓名、测试结果以及大约60万个社会保障号码等敏感信息。

在最新提交的报告中，恩佐生化表示，750万美元的和解基金将“全面且最终地解除公司及其子公司对任何和所有索赔的责任”。同时，公司指出，之前承诺的“数据保护系统升级工作已经完成”。

在此次和解之前，恩佐生化曾于去年同意就同一起勒索软件攻击向三个州政府支付450万美元（约合人民币3292万元）的赔偿。

由美国纽约州总检察长办公室（OAG）主导的调查发现，攻击者（身份未被确认且未公开现身）通过两个员工的登录凭证成功入侵了恩佐生化的网络。OAG表示：“调查显示，这两个登录凭证在五名恩佐生化员工之间共享，其中一个登录凭证在过去十年内未曾更改，这导致恩佐生化面临更高的网络攻击风险。”此外，调查人员还指出，该公司在远程访问电子邮件时并未启用多因素身份验证。

2023年，恩佐生化曾警告投资者，表示公司可能因勒索软件攻击面临监管机构的财务处罚以及相关诉讼。公司在报告中指出，2022财年收入为3260万美元，并强调由于其是首批上市的生物技术公司之一，知名度较高。

随着勒索软件攻击频发，医疗保健组织正面临日益严峻的审查，尤其是当攻击导致患者数据泄露时。

美国卫生与公众服务部（HHS）已与涉及医疗行业的公司达成了八项和解协议。该部门指出，勒索软件已成为医疗行业面临的主要威胁，并提供数据显示，自2018年以来，涉及勒索软件的大型数据泄露事件报告数量已增长了264%。

来源：安全内参，参考资料：therecord.media