泄露上百萬患者健康信息,美國醫藥巨頭賠償2.87億元
責編:gltian |2025-08-20 14:20:40美國藥品廠商Cencora公司與Lash集團已同意支付4000萬美元(約合人民幣2.87億元),以了結一宗涉及2024年2月數據泄露的集體訴訟案件。該事件影響了超過143萬人。
Cencora公司(原名美源伯根)是一家美國藥品批發商兼合同研究機構,Lash集團是Cencora旗下的一家醫藥解決方案提供商。
至少143萬人敏感數據受影響
2024年2月21日,Cencora在向美國證券交易委員會(SEC)提交的文件中披露,公司于當天發現其信息系統中的數據被外泄。
同年7月31日,Cencora在更新的SEC文件中確認,被盜數據的規模超出最初預期。此次泄露至少波及27家制藥公司,涉及的個人及受保護健康信息包括:姓名、地址、出生日期、社會安全號碼、健康及保險信息、財務信息、交易信息、消費者檔案信息、種族/民族身份、政治觀點、性取向/性別認同、犯罪記錄、IP地址、其他電子標識符、生物識別信息、基因信息、工會會員信息,以及駕照和護照信息。
由于多家機構分別通報了此次泄露事件,確切受影響人數仍無法確定。據外媒TechCrunch根據提交給各州司法部長的泄露報告統計,至少有143萬人已被通知,其數據在這次安全事件中遭到泄露。由于只有少數州會公開披露受影響人數,實際總人數很可能遠高于143萬。
多起針對Cencora、Lash集團及部分受影響制藥公司的集體訴訟已被合并為一案(Anaya等訴Cencora公司等案),并在美國賓夕法尼亞州東區聯邦地區法院審理。原告指控,被告未能采取合理且適當的安全措施保護敏感數據,構成過失,導致數據被盜。
被告在不承認任何不當行為或法律責任的前提下選擇和解,同意設立一個4000萬美元的和解基金,用于支付律師費(最高1333.3333萬美元)、律師開支(最高30萬美元)、28名集體代表的服務獎勵(總計4.2萬美元),以及和解管理費用(具體金額待定)。
和解基金剩余部分將用于向集體成員賠償。成員可提交索賠申請,要求補償因數據泄露而產生、可合理追溯至此次事件且未獲報銷的實際自付損失,這些損失需發生在2023年9月1日或之后。每位成員的索賠上限為5000美元,總賠償金額上限為500萬美元;若總額超限,將按比例分配。成員也可選擇申請現金基金賠付,金額將根據有效索賠的數量確定。
此次事件影響27家制藥公司
Cencora公司與制藥公司、醫療服務提供者及藥店合作,提供藥品分銷、患者支持服務、業務分析與技術支持。據統計,美國約20%的藥品銷售與分銷業務由該公司處理。
Cencora及Lash集團的客戶去年5月開始向州司法部長報告此次數據泄露。受影響客戶的具體數量尚未確認,但已知至少有27家制藥和生物技術公司受到波及,涉及數十萬人的個人數據被盜。
根據目前提交的通報,受影響公司包括:阿博特、艾伯維公司、阿卡迪亞制藥公司、拜耳公司、CareDx公司、鄧德利安制藥有限公司、恩多制藥公司、基因泰克公司、葛蘭素史克集團及葛蘭素史克患者準入項目基金會、強生公司及強生患者援助基金會、諾華制藥公司、輝瑞公司、雷納公司、再生元制藥公司、住友制藥美國公司、武田美國制藥公司等。
雖然目前尚無證據顯示數據被濫用,受影響個人已獲提供為期24個月的信用監控與身份盜用防護服務,且無需支付費用。同時,公司已采取額外防御措施,防止類似事件重演。截至目前,沒有網絡犯罪組織聲稱對此次攻擊負責。
參考資料:https://www.hipaajournal.com/cencora-cyberattack-data-breach/
顯示原圖
翻譯為
復制譯文
下載圖片