((自动化翻译由路透提供,请见免责声明 )) Brendan Pierson
路透社3月13日 - 美国联合健康集团(UnitedHealth Group )已经遭到至少六起集体诉讼,指控其未能在上个月黑客攻击其支付处理部门Change Healthcare (link) 时保护数百万人的个人数据。
在周二晚些时候于华盛顿特区提交的一份动议 (link),原告律师要求联邦司法小组将这六起案件合并到Change总部所在地田纳西州纳什维尔的联邦法院,并表示他们预计还会有更多的案件提交。
目前尚不清楚勒索软件黑客组织 "黑猫"(BlackCat)在这次攻击中泄露了多少信息或何种信息,因此也不知道诉讼的规模会有多大。
UnitedHealth 于 2 月 21 日披露了此次攻击事件,但未说明有多少人受到了影响。
UnitedHealth 没有透露 BlackCat 是否索要赎金,但黑客使用的一个在线论坛上的一个帖子称,该公司向黑客支付了 (link) 2200 万美元,以重新获得其锁定系统的访问权。
根据《健康保险可携性与责任法案》(Health Insurance Portability and Accountability Act(HIPAA))这一美国健康隐私法,公司必须在发现数据泄露后的 60 天内通知受影响的个人其个人信息已被泄露。
对于影响人数超过 500 人的数据泄露事件,公司必须通知联邦监管机构和知名媒体。UnitedHealth 迄今尚未发出此类通知。
Change 处理着美国约 90 万名医生、3.3 万家药店、5500 家医院和 600 家实验室约 50% 的医疗报销 (link)。
这次攻击导致 Change 停止运营,包括大型医院系统、小型医疗机构和药房在内的医疗服务提供者无法收取 (link)。据 UnitedHealth 网站称,Change 预计将于 3 月 15 日恢复处理付款。
所有诉讼都声称,Change 未能保护患者的个人信息,使他们面临身份被盗和隐私被侵犯的风险。一些诉讼还称,患者因保险理赔无法处理而无法配药,使他们的健康受到威胁。
原告称,Change 存储的、现在可能面临风险的信息包括医疗记录、付款信息、姓名和社会安全号。其中一起诉讼称,"数据泄露事件中的信息已经出现在暗网上,并已被出售",但诉讼并未提供支持这一说法的任何细节。
这些诉讼指控该公司玩忽职守,违反了 HIPAA 和各州法律的隐私要求。
其中四起诉讼是在纳什维尔针对 Change 提起的,两起是在母公司所在地明尼苏达州针对 UnitedHealth 提起的。
周二的动议是由纳什维尔案件的律师提出的。明尼苏达州案件的律师可以提出竞争性动议,要求将案件移至他们的法院,在这种情况下,美国多地区诉讼司法小组将决定将案件移至何处。
精彩评论