Forefront Dermatology达成375万美元的和解

关键要点

在2021年5月和6月的IT系统黑客攻击中，ForefrontDermatology与241万名患者和员工达成了375万美元的和解。黑客组织在此次攻击中访问并窃取了大量敏感数据。

根据拟议的和解方案，Forefront Dermatology还同意在其遍布22个州的195个医疗点实施和维护一系列数据安全措施，期限不少于两年。

此案的起因是该机构在2021年6月发布的泄露通告，告知公众于6月4日发现并修复了安全事件。尽管如此，在该通知发布之前，黑客组织已在暗网上发布了
allegedly stolen 的数据，且声称其最早于5月28日便已进入Forefront的网络。

据显示，涉及敏感患者信息的数据被多次提示。然而，Forefront的泄露通告称，事件仅导致“某些文件的未经授权访问”。泄露的数据包括联系信息、出生日期、大量标识符、服务日期、医疗数据及临床治疗信息。

此次事件成为去年报告的第五大医疗数据泄露事件。

随之而来的三起由患者发起的单独诉讼，最终合并为一项集体诉讼。诉讼显示，Forefront的数据可能仍在暗网上自由流通，包括超过130个文件的详细信息和所有健康保险门户的登录信息。

诉讼中提出了多项指控，认为是Forefront的“自身疏忽”导致了“泄露的发生”。例如，古巴黑客泄露了 allegedly根据该机构网络窃取的密码文件，列表中显示了超过100套登录信息，具有“显著的重复使用”。

更有甚者，诉讼指控“Forefront试图最小化数据泄露的范围和严重性”，尤其是在公众声明中。具体而言，其向缅因州总检察长的报告将泄露人数减少到仅几千人，并将隐私影响最小化为“数据访问”，尽管另一州的报告显示个人标识符确实被获取。

尽管暗网帖子声称涉及社会安全号码（SSN），Forefront并未“公开承认”，而这些不一致性成为诉讼的核心，因为患者无法知晓“究竟哪些具体类型的信息被访问”。

诉讼还声称，Forefront以一种鲁莽的方式维护其数据，并意识到其网络的脆弱状态，这使得古巴黑客能够访问网络和敏感信息。此外，Forefront还被指控未能正确监控其系统，这本可以防止入侵或更早地揭示黑客事件。

最后，诉讼指出，Forefront未能遵循业界网络安全标准和联邦贸易委员会关于实施合理安全措施的指南。

泄露的受害者声称，他们“遭受了利益损失、额外支出、隐私丧失和因处理或减轻攻击影响而合理产生的时间损失”。值得注意的是，三名指控的患者并未提供因事件造成具体损害的证据。

Forefront Dermatology否认所有指控。

如果获得批准，拟议的和解将为受影响的个人提供高达10,000美元的赔偿，以补偿与泄露相关的任何已证明的费用，例如身份盗窃、银行费用、欺诈性收费和信用相关费用等。受害者还将获得每小时最多25美元的赔偿，最多五小时的失去时间。

Forefront还提供一年的信用监控服务，包括高达100万美元的身份盗窃保险。

关于安全方案的要求，Forefront必须在其网络上实施双重身份验证，“在合理可行时”，与第三方签订信息和数据安全业务实践的合同，并提供这些方案的“实时支持”，同时实施不可变存储以防止备份的篡改或删除。

并