Одна из крупнейших медицинских организаций Пенсильвании, Lehigh Valley Health Network (LVHN), согласилась выплатить 65 миллионов долларов для урегулирования коллективного иска, поданного пациентами после утечки их персональных данных в результате атаки вымогателей.
В числе утекших данных оказались не только личные сведения, такие как имена, адреса и номера социального страхования, но и медицинские записи, а также фотографии, в том числе изображения обнажённых пациентов, которые частично были опубликованы в интернете.
Вторжение в IT-системы LVHN было обнаружено 6 февраля 2023 года. Ответственность за атаку была возложена на хакерскую группу ALPHV, также известную как BlackCat. Преступники похитили гигабайты данных 134 тысяч пациентов и сотрудников и потребовали выкуп, угрожая в противном случае обнародовать украденную информацию.
Согласно иску , поданному в марте 2023 года, медицинская организация систематически делала снимки обнажённых пациентов, проходивших лечение от рака, иногда без их ведома. После отказа LVHN выплатить выкуп, киберпреступники выполнили свою угрозу и начали публиковать похищенные данные, включая фотографии с личной информацией.
Медицинская сеть публично заявила о хакерской атаке 20 февраля, утверждая, что её масштабы были ограничены. Однако уже 4 марта группировка ALPHV разместила на своём сайте предупреждение о том, что собирается обнародовать украденные снимки, если не будет выплачен выкуп. Несмотря на отказ LVHN, 10 марта преступники опубликовали ещё 132 ГБ данных и пообещали продолжать утечки каждую неделю.
Одна из истцов, получившая уведомление о том, что её обнажённые снимки оказались в открытом доступе, заявила, что даже не подозревала о том, что её фотографировали во время лечения рака груди, а тем более о том, что эти изображения хранились на серверах медицинской сети. Более того, её возмутила реакция представителя LVHN, который сообщил ей об утечке с усмешкой, предложив в качестве компенсации два года бесплатного мониторинга кредитной истории.
Юристы истцов утверждают, что LVHN нарушила свои обязательства по защите конфиденциальности данных пациентов, что является также нарушением американского закона о переносимости и подотчётности медицинского страхования (HIPAA). Тем не менее, медицинская сеть не признала своей вины, несмотря на согласие на выплату компенсации.
По утверждению юридической фирмы Saltz Mongeluzzi Bendesky, это урегулирование стало крупнейшим в своём роде в деле, связанном с утечкой данных в результате атаки вымогателей. Пациенты, чьи данные были опубликованы в сети, получат компенсации, разделённые на четыре категории. Наименьшая сумма выплат — 50 долларов для тех, чьи медицинские записи были скомпрометированы. Самую крупную компенсацию в размере от 70 до 80 тысяч долларов получат те, чьи обнажённые фотографии оказались в сети.
Lehigh Valley Health Network ранее уже подвергалась кибератакам. В июле 2022 года организация стала жертвой аналогичного инцидента, в результате которого были скомпрометированы данные почти 76 тысяч пациентов. Несмотря на это, не были приняты необходимые меры для предотвращения повторной атаки, что вызывает вопросы о подготовленности медицинской сети к противодействию киберугрозам.