Magellan是一家第三方醫療照護服務供應商,為美國各地的健康計劃和其他醫療照護機構提供照護管理服務。2019年7月5日的通知顯示,該公司一個員工電子郵件帳戶被盜用來傳送垃圾郵件。調查人員認為,駭客可能始於成功的網路釣魚攻擊或其他詐欺策略,例如員工無意中向攻擊者提供電子郵件帳號密碼。
2019年10月,Geisinger Health是第一個通知患者其一些健康資料因Magellan事件而洩露的醫療保健機構。2019年秋季,約有27萬人被告知潛在的資料洩露。洩露的資料包括患者姓名、社會安全號碼、處方、身份證號碼和診斷等等。
受影響的患者迅速對Magellan提起訴訟,他們對於通知受害者的時間太晚感到特別不滿,同時也質議了幾個月來Magellan未能發現此事件。患者聲稱,漏洞本身是供應商未能有效保護患者資料的「直接結果」,供應商應採取標準和合理的措施來防止資料洩露。
該事件似乎是為了執行惡意入侵手段而設計的,而不是為了獲取患者資料,但Magellan無法排除資料是否被存取、檢視或洩露。儘管訴訟指出,駭客「已經開始使用資料進行欺詐」,但它沒有詳細說明那些被指控的欺詐行為
Magellan繼續否認所有不當行為的說法,並聲稱沒有證據表明任何第三方實際檢視過這些資訊。然而,進一步的訴訟將是曠日持久而昂貴的,訴訟最好是完全和解以解決這事件。
擬議的和解將解決這些索賠案件,個人可以申請高達225美元的普通自付費用補償,如信用報告費用、網際網路和電話費用,以及每小時15美元的時間損失補償。患者還可能因身份遭竊或其他與事件相關的詐欺而獲得2500美元的特別費用,以及每小時15美元的時間損失補償。聽證會將於12月舉行。
相關連結:Jessica Davis(2022). Magellan Health settles for $1.43M after data breach, delayed notification. SC MEDIA. 檢自: https://www.scmagazine.com/analysis/incident-response/magellan-health-settles-for-1-43m-after-data-breach-delayed-notification (Oct. 10, 2022)
