美医疗巨头泄露超10万患者隐私数据并拒绝勒索，遭集体诉讼，面临6500万美元赔偿；

一家美国医疗巨头将支付6500万美元和解，以解决由其患者提起的集体诉讼，此前，勒索软件犯罪分子窃取并泄露了其患者包括裸照在内的隐私数据。

NEWS

事件背景

莱希谷健康网络（Lehigh Valley Health Network，简称LVHN）是宾夕法尼亚州最大的初级保健集团之一。此前，LVHN发现其IT系统遭到入侵，随后确认是ALPHV（又名BlackCat）黑客组织实施的攻击。

黑客窃取了134000名患者和员工的海量隐私数据，包括姓名、地址、社会保障号码、州身份证数据以及医疗记录和手术图像，攻击者要求医院支付赎金，否则将把这些隐私数据公布在网上。

根据提起的诉讼，该医疗集团经常拍摄裸露的癌症患者照片，甚至有些时候可能在患者不知情的情况下进行。医院拒绝支付BlackCat的赎金，攻击者随后将这些数据公布，受害患者对此表示十分愤怒。

NEWS

诉讼细节

诉讼书中提到，“尽管LVHN公开宣传自己抵制了黑客的勒索要求，但他们实际上是在无视真正的受害者。”诉讼指出，LVHN没有站在患者的利益上考虑，而是把避免自身的财务损失放在首位。

LVHN在数日后公开了这一攻击事件，声称攻击范围有限。3月4日，ALPHV团伙在其网站上发布警告，威胁要将盗取的图像在线发布，除非LVHN支付赎金。医疗集团拒绝支付赎金，结果犯罪分子将一部分盗取的资料，包括带有个人信息的照片等上传到了暗网。

诉讼文件中记录了一名未公开身份的原告在3月6日接到医院合规副总裁的电话，通知她其裸照已被上传到网上，并笑着继续谈话，为她提供了两年的信用监控服务。这名原告回应说，她不知道医院在治疗乳腺癌期间拍摄了她的裸照，也不知道这些照片被存储在公司服务器上。

虽然LVHN通知了患者和员工关于隐私泄露的情况，但ALPHV组织继续施压，3月10日泄露了另外132GB的资料，并威胁每周都会披露更多材料，直到医院支付赎金为止。

原告律师表示，LVHN未能履行信息保护的责任义务，其行为还涉嫌违反美国《健康保险流通与问责法案》（HIPAA）。

LVHN虽然同意和解条款，但否认了其有任何不当行为。值得注意的是，LVHN在2022年7月曾遭遇类似的勒索软件攻击，影响了75628名患者。显然，该医疗集团没有采取足够的预防措施来防止再次发生这种事件，这在医疗行业中并不罕见，因为该行业是勒索软件攻击者的主要目标。

原告的法律事务所Saltz Mongeluzzi Bendesky声称，此次和解是“同类案件中按每位患者计算的最大和解金额”。受影响的数据将分为四个等级，最低等级的患者将获得50美元赔偿，而最高等级（即裸照被公开的患者）将获得70000至80000美元的赔偿（扣除律师费用后）。

值得注意的是，医院系统信息泄露遭勒索的案件在近年来频发，据公开消息可见：

Enzo Biochem因不完善的安全措施导致勒索软件威胁，被判支付450万美元。

https://www.theregister.com/2024/08/14/enzo_biochem_ransomware_fine/

攻击者入侵HealthEquity的存储系统，盗取了430万人的隐私数据。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

勒索软件感染导致250多家医院血液供应中断。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

伦敦医院Qilin袭击后，癌症患者被迫作出艰难决定。

https://www.theregister.com/2024/07/29/healthequity_says_data_breach_affects/

文章来源：

https://www.theregister.com/2024/09/12/lvhn_lawsuit_ransom/

公安部：打击加油机作弊犯罪 抓获298名嫌疑人

2024年9月11日，据公安部报道：自2023年8月综合治理加油机作弊专项行动以来，公安部高度重视，依托“净网”专项行动对加油机作弊犯罪开展重拳打击，部署全国公安机关瞄准非法破解加油机计量计税芯片、非法开发遥控作弊程序、兜售作弊主板芯片等加油机作弊犯罪关键环节开展重点整治，共侦办案件95起，抓获犯罪嫌疑人298名。行动期间，公安机关还联合多部门检查加油站758家、查明偷逃税款7.9亿余元，有力维护了成品油零售市场秩序和人民群众合法权益。为震慑犯罪，公安部公布依法打击加油机作弊犯罪5起典型案例。

下一步，公安机关将持续保持对加油机作弊犯罪的高压严打态势，进一步加大执法力度，提高联合检查频次，配合相关行业主管部门研究完善针对性举措，全面推进综合治理加油机作弊专项行动工作，实现打击整治与行业治理双重效果，坚决遏制此类犯罪高发势头。

公安部公布打击加油机作弊犯罪5起典型案例

案例一：黑龙江大庆某厂商非法篡改移动加油机主板案。

2023年4月，黑龙江省大庆市公安机关全链条破获一起涉车载移动加油机作弊案件，抓获犯罪嫌疑人26名，打掉一个作弊加油机生产销售厂商，扣押移动加油机作弊主板2000余个，并将涉计量、税收违法线索移交市场监管和税务部门。

2023年3月初，大庆市公安机关在联合执法检查中发现，大庆市某加油站工作人员使用车载移动作弊加油机，利用遥控器远程控制加油机实施“偷油”。经缜密侦查，2023年4月10日，大庆市公安机关抓获作弊加油机生产销售厂商技术人员、加油站负责人及加油机经销商26人，经讯问，上述犯罪嫌疑人对相关违法犯罪事实供认不讳。经查，涉案加油机生产销售厂商技术人员预留能够控制移动加油机计量数据的后门，使用人员可通过加油机面板和遥控器进行参数配置，控制移动加油机在加油过程中“少油”，以达到偷税漏税的目的。相关经销商则以明显高于市场的价格将该加油机兜售给加油站牟利。

2024年4月，大庆市公安机关已依法将本案移送当地人民检察院审查起诉。

案例二：河南郑州张某某等人篡改加油机主板程序案。

2023年8月，河南省郑州市巩义市公安机关从辖区内作弊加油站线索入手，成功打掉1个作弊加油机源头生产厂家，抓获犯罪嫌疑人16名，查扣作弊加油机主板1000余个，并发起全国集群战役，会同全国25省公安机关对360余家作弊加油站进行查处，追缴税款500余万元。

2023年8月30日，巩义市公安机关会同市场监管、税务部门对加油站开展联合执法检查，通过对站内加油设备及相关信息系统检查发现，某加油站统一使用了某品牌的作弊加油机，通过对上传至税务系统的销售数据进行非法篡改，进而实施偷逃税款等违法犯罪活动。公安机关循线深挖，于当年9月对该加油站使用的某品牌加油机生产厂家进行突击检查，查获一批作弊加油机及其使用的作弊程序源代码。经讯问，相关人员对该厂家实际控制人朱某某指使技术人员设计、研发、测试作弊加油机主板的犯罪事实供认不讳。

2024年7月，巩义市公安机关已依法将本案移送当地人民检察院审查起诉。

案例三：广东东莞韩某国团伙破坏加油管理系统案。

2023年3月16日，广东省东莞市公安机关对加油机作弊系统开发团伙进行收网，查明加油机生产厂家软件开发人员擅自在油站管理系统上增加代码并修改加油机固件程序，对加油机上传数据进行篡改，导致上传税控系统数据与真实经营数据严重不符，以此实现偷逃税款的违法犯罪目的。经查，2021年8月1日至2023年3月15日期间，韩某国、邱某才先后对广东东莞、河北唐山、甘肃兰州共20家加油站267个功能主板篡改安装固件程序，开通作弊功能以达偷逃税款目的。

2024年2月，广东省东莞市第一人民法院对广东省某能源设备公司前软件工程师韩某国、在职软件工程师邱某才非法篡改油站管理系统功能，帮助全国多家加油站逃税一案，依法作出刑事判决：一是被告人韩某国犯破坏计算机信息系统罪，判处有期徒刑五年六个月，家属代其退缴的违法所得人民币30万元，继续追缴被告人韩某国的违法所得人民币53.2万元，上缴国库;二是被告人邱某才犯破坏计算机信息系统罪，判处有期徒刑四年六个月，家属代其退缴的违法所得人民币19万元，上缴国库。

案例四：广东深圳某科技公司篡改加油机主板案。

2023年3月16日，广东省深圳市公安机关对某科技公司内以林某某为首的加油机作弊团伙开展集中收网行动，共打掉5个违法犯罪窝点(开发作弊软件公司1个，使用作弊软件加油站4个)，抓获违法犯罪嫌疑人30名，扣押书证物证等一批。

2022年10月，深圳市公安机关侦查发现，某科技公司实施开发篡改加油机主板软件等违法犯罪活动，通过修改加油机出厂程序、重刷固件等方式，非法篡改加油机主板，为加油站工作人员修改主板累计油量等数据提供便利，进而达到偷逃税款等目的。2024年2月，广东省深圳市宝安区人民法院依法作出刑事判决，犯罪嫌疑人林某泽、何某华等人犯破坏计算机信息系统罪，判处有期徒刑十个月至三年八个月不等。

案例五：广西贵港阮某某篡改加油机数据偷逃税款案。

2023年3月16日，广西壮族自治区贵港市公安机关依法查明某加油站破坏计算机信息系统，抓获犯罪嫌疑人阮某某等3人，扣押电脑主机2台、加密狗1个、加油机主板24个，查扣涉案资金800万元。

经查，某能源科技有限公司的加油机厂家未按照有关生产标准，违规生产不具备反作弊功能的加油机。犯罪嫌疑人阮某某等人为谋取非法利益，从该厂家处购买加油机12台(24支加油枪)，并授意加油站副站长李某某、管理员陈某某等人使用黑客程序破解加油机主板内的税控芯片，添加可人为篡改计税数据的功能。该加油站通过私自篡改计税数据，减少上传至税务系统的实际数据，隐瞒真实销售金额，以达到偷逃税款的目的。经贵港市税务部门认定，该加油站两个月内少缴增值税即违法所得879030.36元。2024年5月，贵港市公安机关已依法将本案移送当地人民检察院审查起诉。

文章来源 ：安全客、公安部

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍