【据CP24 11月30日报道】安大略省西南部的一组医院面临潜在的4.8亿美元的集体诉讼,至少有27万名患者的数据在该地区遭到黑客窃取,并据报道在暗网上出售。
这次数据泄露最早于10月23日被发现,目标包括蓝水健康(Bluewater Health)、查塔姆-肯特健康联盟(Chatham-Kent Health Alliance)、伊利海滨医疗(Erie Shores HealthCare)、奥特迪-格雷斯医疗中心(Hôtel-Dieu Grace Healthcare)、温莎区医院(Windsor Regional Hospital)以及为这些医院提供技术系统的TransForm Shared Service Organization。
这起诉讼是由一名蓝水健康患者提起的,但是代表所有曾经或目前是这五家医院患者的安大略居民提出。
据CTV News获得的一份诉状称,这些医院未能充分保护患者记录。诉状继续指出,由于此次泄露,患者正在经历“严重而持久的心理困扰”。
文件声称:“被告没有采取足够或有效的网络安全措施,导致不明身份的个体非法获取了他们的计算机网络、数据、数字存储、数字文件和计算机。”
文件继续说:“被入侵的信息,包括但不限于个人健康信息,是非常敏感和个人的,一个合理的人会认为这种侵犯是非常令人反感的,引起了痛苦、羞辱和/或困扰。”
在攻击中,攻击者收集了2万名蓝水患者的社会保险号,以及姓名、地址、电话号码、出生日期和就医原因。在1992年2月24日之后注册治疗的任何患者都受到了影响。
一个名为“Daixin Team”的组织宣称对此次泄露负责。
在11月份,医院承认拒绝了黑客的勒索要求后,数据已在“暗网”上发布。据称,黑客要求的勒索金额达数百万。自称负责的人后来表示已经出售了被窃取数据的“完整泄漏”。
在民事诉讼中还没有提交答辩声明。在被要求置评时,医院发表了一份联合声明,确认他们已收到这起诉讼。
声明中写道:“由于这现在是法院面前的法律问题,我们将不会置评。请访问我们的网站以获取关于网络攻击和服务恢复的更新。”
律师表示医院未能保护信息。
安大略省警察局联合美国联邦调查局也已对此事展开刑事调查。
在接受CTV News采访时,原告律师Dahab Law的马里埃尔·达哈布表示,尽管这些医院本身是这次泄露的受害者,但最终他们未能保护患者的信息。
她说:“最终的受害者是患者,而不是医院。这不是医院的信息泄露出去了。”
在准备和提起诉讼时,达哈布说她听到了许多受影响的患者的声音。
达哈布表示,最终,各方希望他们的行动能够帮助其他人更加批判性地思考数据保护的问题。
她说:“我们希望这改变了人们对待数据的方式——不能轻视它,并过于依赖IT公司来保护自己免受责任。你要保护好你的数据。”(Local Journalism Initiative by Mia)
原文链接:https://www.cp24.com/news/southwestern-ont-hospitals-facing-480m-class-action-after-patient-data-breached-sold-on-dark-web-1.6667913
