前情回顾·网络安全事故和解赔偿
安全内参6月3日消息,美国西雅图的福瑞德·哈金森癌症研究中心(Fred Hutchinson Cancer Center)已同意支付1150万美元(约合人民币8269万元),用以解决一起拟议中的集体诉讼案件。
该诉讼源于2023年一起影响210万人次的双重勒索软件攻击。部分患者甚至被黑客直接威胁称,如不支付赎金,将遭遇“假报警”的极端心理恐吓。这种攻击通过虚假报警使执法部门或特警队上门。
该机构需投入近亿元改进数据安全
除了超千万美元的财务和解金,和解协议还要求该中心在业务运营中投入超过1350万美元(约合人民币9703万元),用于加强数据安全系统,以保护其持续收集、使用和持有的个人信息。
福瑞德·哈金森中心隶属于华盛顿大学,华盛顿大学也作为被告之一出现在此次诉讼中。
和解协议规定,华盛顿大学医学系统(UW Medicine)需要与福瑞德·哈金森中心共同聘请第三方审计机构,对其在附属关系、临床护理以及研究合作中与福瑞德·哈金森中心共享患者数据的政策、程序及安全控制措施进行评估。
公开的法庭文件并未详细列出福瑞德·哈金森中心必须采取哪些具体的数据安全强化措施。
该和解协议已于上周获得华盛顿州法院的最终批准。
患者身份、保险、医疗健康信息全部泄漏,部分还遭遇现实威胁
这起攻击事件发生在2023年11月10日至11月25日期间。攻击者获得了该机构服务器中部分文件的访问权限,这些文件包含现任及前任患者的个人及健康信息。
泄露的资料包括患者的姓名、住址、社会安全号码、出生日期、健康保险信息、病史记录、心理与生理状况,以及医疗诊断和治疗信息。
截至2023年12月6日,即福瑞德·哈金森中心公开披露此次数据泄露当天,网络犯罪分子已向数百名受影响者发送电邮,威胁称如不支付50美元赎金,将把他们的数据出售给数据经纪人,或在暗网上公开。诉讼称:“已有至少300名患者在收到此类威胁邮件后与福瑞德·哈金森中心取得联系。”
部分患者还被威胁称,如不支付赎金,将成为“假报警”攻击的目标。
受影响用户最高可获赔5000美元
福瑞德·哈金森中心的一位发言人表示,中心决定达成和解,旨在解决2023年11月发生的网络安全事件。声明中写道:“我们非常重视患者和员工的信任,也高度关注个人信息的安全。我们始终致力于保护个人信息,并持续投入重大资源来加强数据安全体系。”
福瑞德·哈金森中心未立即回应媒体提出的进一步询问,包括该机构将采取哪些具体措施改善数据安全实践,以及目前已知有多少人支付了赎金。
法庭文件中也未明确说明在此次事件中是否有人确实向黑客支付了赎金,或具体人数。
根据和解协议,符合资格的集体成员可申请两类现金赔偿,并获得为期两年的免费信用监控及医疗身份盗窃防护服务。
现金赔偿包括:因数据泄露造成的实际损失(如诈骗或身份盗用)最多可获5000美元的报销;以及一笔最高599美元的按比例赔偿金,即便未申报任何实际支出损失,也可领取。
根据协议,原告方及其代表律师将从和解基金中获得三分之一的费用,即约383万美元作为律师费和相关开支。
参考资料:https://www.govinfosecurity.com/cancer-center-pays-patients-115m-in-double-extortion-hack-a-28495
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
