泄露患者敏感數據,一地方醫療機構被勒令投入約1億元加強數據安全
責編:gltian |2025-06-04 17:21:35美國西雅圖的福瑞德·哈金森癌癥研究中心(Fred Hutchinson Cancer Center)已同意支付1150萬美元(約合人民幣8269萬元),用以解決一起擬議中的集體訴訟案件。
該訴訟源于2023年一起影響210萬人次的雙重勒索軟件攻擊。部分患者甚至被黑客直接威脅稱,如不支付贖金,將遭遇“假報警”的極端心理恐嚇。這種攻擊通過虛假報警使執法部門或特警隊上門。
該機構需投入近億元改進數據安全
除了超千萬美元的財務和解金,和解協議還要求該中心在業務運營中投入超過1350萬美元(約合人民幣9703萬元),用于加強數據安全系統,以保護其持續收集、使用和持有的個人信息。
福瑞德·哈金森中心隸屬于華盛頓大學,華盛頓大學也作為被告之一出現在此次訴訟中。
和解協議規定,華盛頓大學醫學系統(UW Medicine)需要與福瑞德·哈金森中心共同聘請第三方審計機構,對其在附屬關系、臨床護理以及研究合作中與福瑞德·哈金森中心共享患者數據的政策、程序及安全控制措施進行評估。
公開的法庭文件并未詳細列出福瑞德·哈金森中心必須采取哪些具體的數據安全強化措施。
該和解協議已于上周獲得華盛頓州法院的最終批準。
患者身份、保險、醫療健康信息全部泄漏,部分還遭遇現實威脅
這起攻擊事件發生在2023年11月10日至11月25日期間。攻擊者獲得了該機構服務器中部分文件的訪問權限,這些文件包含現任及前任患者的個人及健康信息。
泄露的資料包括患者的姓名、住址、社會安全號碼、出生日期、健康保險信息、病史記錄、心理與生理狀況,以及醫療診斷和治療信息。
截至2023年12月6日,即福瑞德·哈金森中心公開披露此次數據泄露當天,網絡犯罪分子已向數百名受影響者發送電郵,威脅稱如不支付50美元贖金,將把他們的數據出售給數據經紀人,或在暗網上公開。訴訟稱:“已有至少300名患者在收到此類威脅郵件后與福瑞德·哈金森中心取得聯系。”
部分患者還被威脅稱,如不支付贖金,將成為“假報警”攻擊的目標。
受影響用戶最高可獲賠5000美元
福瑞德·哈金森中心的一位發言人表示,中心決定達成和解,旨在解決2023年11月發生的網絡安全事件。聲明中寫道:“我們非常重視患者和員工的信任,也高度關注個人信息的安全。我們始終致力于保護個人信息,并持續投入重大資源來加強數據安全體系。”
福瑞德·哈金森中心未立即回應媒體提出的進一步詢問,包括該機構將采取哪些具體措施改善數據安全實踐,以及目前已知有多少人支付了贖金。
法庭文件中也未明確說明在此次事件中是否有人確實向黑客支付了贖金,或具體人數。
根據和解協議,符合資格的集體成員可申請兩類現金賠償,并獲得為期兩年的免費信用監控及醫療身份盜竊防護服務。
現金賠償包括:因數據泄露造成的實際損失(如詐騙或身份盜用)最多可獲5000美元的報銷;以及一筆最高599美元的按比例賠償金,即便未申報任何實際支出損失,也可領取。
根據協議,原告方及其代表律師將從和解基金中獲得三分之一的費用,即約383萬美元作為律師費和相關開支。
參考資料:https://www.govinfosecurity.com/cancer-center-pays-patients-115m-in-double-extortion-hack-a-28495