美国一医疗机构因数据在暗网泄露而被起诉，被迫支付6500万美元和解

美国宾夕法尼亚州一家医疗网络同意以6500万美元和解金解决一起与大规模数据泄露有关的集体诉讼，其中包括公布600名癌症患者裸体照片。

该协议解决了2023年3月由拉克万纳县邓莫尔的一名癌症患者代表她和其他受此影响的患者提起的集体诉讼。

该诉讼于2023年3月提起，此前发现利哈伊谷健康网络（Lehigh Valley Health Network,LVHN）的网络与数据安全不到位，让黑客得以侵入其系统，并获取了至少13.4万人的个人数据，其中包括癌症患者。原告律师帕特里克·霍华德（Patrick Howard）于周三下午宣布了拟议的和解方案。

根据诉状，该系统于2023年2月受到勒索软件团伙BlackCat的网络攻击，在此期间，存储在LVHN网络上的癌症患者接受治疗的裸体图像遭到泄露。

霍华德在接受采访时表示，在LVHN拒绝支付赎金后，据称是俄罗斯政府背景的暗网勒索软件团伙BlackCat将这些裸照和其他数据发布到了其暗网泄密网站上。

由于案件部分细节需要保密，霍华德没有具体说明网络犯罪分子索要的赎金数额，但当时当地新闻报道援引法庭文件称，赎金超过500万美元。

其他集体诉讼案件中也曾出现过金额更大的财务和解，但霍华德表示，以每位原告获得的赔偿金额来看，LVHN提出的拟议的和解方案很可能是美国有史以来金额最大的集体诉讼和解。

霍华德表示，所有原告至少可获得50美元赔偿，但乳房或生殖器照片被曝光的癌症患者每人将获得7万至8万美元的赔偿。他们还将分到一笔钱，这笔钱将分配给那些诊断信息被泄露的患者，每位受害者将额外获得1000美元。具体如下：

• 向裸照被发布的患者支付7万至8万美元
• 向记录被黑客入侵的患者提供50美元
• 向信息被公布的患者支付1000美元
• 向非裸照被发布的患者发放7500美元

LVHN周四证实，已“暂时解决”与2023年黑客攻击相关的诉讼。

LVHN发言人在一份声明中表示：“此次攻击仅限于支持拉克万纳县一家医生诊所的网络。”

发言人说，在 LVHN 发现黑客攻击后，该公司立即开始调查，向执法部门发出警报，并聘请了顶级网络安全专家帮助解决这一事件。

该发言人表示，调查结束后，LVHN已通知受影响的客户。

声明称：“BlackCat勒索软件团伙要求支付赎金，但LVHN拒绝向该犯罪集团支付赎金。患者、医生和员工的隐私是我们最优先考虑的问题，我们将继续加强防御措施，以防止未来发生类似事件。”

霍华德表示，这起事件发生在LVHN最近收购的斯克兰顿癌症治疗机构。

霍华德称，他能够获得BlackCat在暗网上发布的泄露文件的副本，以便在诉讼中使用。

“BlackCat背后的黑客刚刚将其公开——无需任何付费或协商即可获取，”霍华德说。“它就在那里。”

除了姓名和家庭住址外，一些受害者（包括一些被曝光裸照或医疗诊断结果的受害者）的社会保障号码也被一同公布。

霍华德在诉讼提起后不久发给案件法官的一封信中对这些数据泄露行为表示愤慨。

霍华德在信中写道：“这个案件悬而未决的每一天，都是……集体诉讼成员的裸照在暗网上可供下载的又一天。事实上，黑客已经对数据进行了索引，可以使用患者和/或员工的姓名进行搜索。”

霍华德说，此案的诉讼已经进行了一年多。

他赞扬该医疗网络同意拟议的解决方案，并表示“最终，他们认识到他们需要为这些人做出正确的决定。”该协议将于11月提交法院进行最终批准。法院必须在11月15日举行的最终听证会上批准该和解协议。在此之前不会支付任何款项。

律师事务所表示，如果法院批准，预计和解金将在“明年初”发放。已经收到通知的集体成员无需采取任何措施即可获得他们应得的和解金。

LVHN是一家非营利性机构，在美国宾夕法尼亚州东部经营着13家医院、28家医疗中心和其他医疗机构。LVHN于今年5月同意与费城地区医疗网络Jefferson合并，并完成了与杰斐逊医疗集团（Jefferson Health）价值140亿美元的合并。