Magellan Health 数据泄露与和解事件

关键要点

Magellan Health 最近同意向数据泄露受害者支付 143 万美元，以解决其声称的安全措施不足，导致 2019 年未被发现的网络钓鱼攻击及后续的患者数据泄露问题。Magellan 是一家为美国各大医疗计划和其他医疗实体提供管理护理服务的第三方医疗服务商。

尽管 Magellan 否认了一切不当行为，并“主张没有证据表明第三方实际查看了任何个人可识别信息或个人健康信息”，但该公司表示“进一步的诉讼将非常漫长且费用高昂，并且希望诉讼能够得到全面和最终的解决。”

该声明突显了医疗行业中数据泄露诉讼的持续现实，尽管最高法院裁决要求受害者必须提供实际伤害的证据才能提起法律诉讼，这类诉讼在过去一年里稳步上升。

拟议的和解将解决这些索赔，并为患者提供现金补偿，以补偿他们的自付费用。个人可以索赔最高 225 美元作为普通自付费用，例如信用报告费用、互联网和电话费用，并可获得每小时 15 美元的时间损失补偿，最多两小时。

患者还可能因与此次事件有关的身份盗窃或其他欺诈费用获得 2500 美元的补偿，以及额外三小时的时间损失补偿，每小时 15 美元。

最终的批准听证会定于 12 月举行。

Magellan 员工电子邮件遭入侵，引发诉讼

2019 年 10 月，Geisinger Health 是第一家因 Magellan 事件通知患者某些健康数据被攻击而受到影响的医疗承保实体。其他受到影响的客户包括 Florida Blue、Presbyterian Health 和 TennCare。

大约 27 万名个人在 2019 年秋季收到了潜在数据泄露的通知，包括 44000 名 TennCare 患者。

这些通知透露，一名员工的电子邮件账户被入侵，攻击者利用该账户发送了大量垃圾邮件。该事件于 2019 年 7 月 5 日首次被发现，但入侵早在同年 5 月就开始。

在未被察觉的停留时间内，攻击者能够进行来自美国境外的邮箱身份验证和连接。调查人员认为，这次黑客攻击很可能是由一次成功的网络钓鱼攻击或其他欺诈手段引发的，例如员工不小心将其凭证提供给攻击者。

被入侵的数据包括患者的姓名、社会安全号码、健康计划、医生姓名、处方、身份证号、服务类型、诊断和授权 ID。尽管看起来该事件的设计纯粹是出于恶意目的而非获取患者数据，但 Magellan 无法排除攻击者是否访问、查看或提取了数据的可能性。

受到影响的患者迅速对 Magellan 提起诉讼，尤其是在检测和后续患者通知的时机方面引发了质疑。诉讼称，Magellan 于 2019 年 11 月 8 日向患者发送了初步通知，尽管该公司在 7 月就已发现数据泄露。

诉讼还质疑 Magellan 在几个个月内未能及时检测到事件，并指出“这种延迟使盗贼更加得手，并使个体更难采取措施以防止其信息传播给全球犯罪分子。”

尽管诉讼指出，攻击者“已开始利用这些数据进行欺诈”，但并未详细说明那些声称的欺诈行为。在通知发布时，Magellan 断言法医调查未发现数据是否被实际查看。

此外，患者声称数据泄露本身是由于该供应商未能实施足够