Gigante da saúde pagará acordo de US$ 65 milhões após bandidos roubarem e vazarem fotos de pacientes nus
Uma gigante da área da saúde dos EUA pagará US$ 65 milhões para resolver uma ação coletiva movida por seus próprios pacientes depois que criminosos de ransomware roubaram seus dados — incluindo suas fotos nuas — e publicaram pelo menos algumas delas online.
Lehigh Valley Health Network (LVHN), um dos maiores grupos de atenção primária da Pensilvânia, descobriu uma invasão de TI em 6 de fevereiro de 2023 e posteriormente nomeadoonotório ALPHV, também conhecido como gangue BlackCat, pelo ataque.
Quem quer que tenha sido o responsável, foram coletados gigabytes de dados descrevendo 134.000 pacientes e funcionários. roubado pelos extorsionários. Nomes, endereços, números de Seguro Social e dados de identificação do estado foram roubados, assim como registros médicos e imagens cirúrgicas. Um resgate foi exigido para evitar que as informações vazassem online.
De acordo com um ação judicial [PDF] movido contra a LVHN no mês seguinte, o grupo médico rotineiramente tirava fotos de pacientes com câncer nus – em alguns casos sem o conhecimento deles.
Quando o hospital se recusou a pagar o resgate da BlackCat para garantir que os dados roubados não fossem divulgados, os criminosos cruéis postaram o material online – e os clientes da LVHN ficaram furiosos.
“Enquanto a LVHN está publicamente se dando tapinhas nas costas por enfrentar esses hackers e se recusar a atender às suas exigências de resgate, eles estão consciente e intencionalmente ignorando as vítimas reais”, afirma o processo. “Em vez de agir no melhor interesse de seus pacientes, a LVHN colocou suas próprias considerações financeiras em primeiro lugar.”
LVHN divulgado publicamente o ataque de 20 de fevereiro daquele ano, e alegou que seu alcance era limitado.
Em 4 de março, a gangue ALPHV postou um aviso em seu site ameaçando distribuir as imagens roubadas online a menos que a LVHN pagasse. O grupo médico recusou, então os criminosos foram em frente e carregaram uma seleção do material roubado em seu portal da dark web – incluindo fotografias com informações de identificação pessoal.
Os documentos do tribunal relatam como uma autora não identificada foi chamada pelo vice-presidente de conformidade do hospital em 6 de março, com a notícia de que suas imagens nuas estavam agora online, antes de oferecer — “com uma risada” — dois anos de serviços de monitoramento de crédito. A autora Jane Doe respondeu que não tinha ideia de que o hospital havia tirado fotos dela sem roupa durante seu tratamento para câncer de mama, nem que as estava armazenando em servidores corporativos.
Enquanto a LVHN informava clientes e funcionários sobre a violação de privacidade, a ALPHV aumentou a pressão, vazando outros 132 GB de material online em 10 de março e ameaçando revelar mais a cada semana até que o resgate fosse pago.
Os documentos judiciais não declaram se o resgate foi pago, e nem a LVHN nem os advogados envolvidos responderam às nossas perguntas.
Os advogados do autor argumentaram que o hospital falhou em seu dever de cuidado para proteger informações. Além disso, suas ações supostamente violaram o America’s Health Insurance Portability and Accountability Act.
O grupo de saúde, embora concordasse com os termos do acordo, negou qualquer irregularidade.
A LVHN tem experiência nesta área. Em julho de 2022, o grupo médico confirmado foi vítima de um ataque de ransomware semelhante que afetou 75.628 pacientes. Parece que precauções suficientes não foram tomadas para impedir uma repetição – o que é incomum, dado que o setor médico é um alvo principal para canalhas de ransomware.
O escritório de advocacia do autor, Saltz Mongeluzzi Bendesky, reivindicado o acordo é “o maior do gênero, por paciente, em um caso de ransomware de violação de dados de assistência médica”. Aqueles cujos dados foram postados online foram categorizados em quatro níveis, o mais baixo dos quais receberá US$ 50 cada por ter tido seus registros médicos acessados. O nível mais alto — aqueles cujas fotos nuas apareceram online — receberá entre US$ 70.000 e US$ 80.000 — depois que os advogados receberem sua parte. ®