据Info risk today网站消息,2023年11月29日,由美国3家医院组成的联盟对 LockBit 勒索软件组织的未知成员提起了诉讼,旨在迫使一家位于马萨诸塞州的云服务供应商交出组织从医院窃取并存储在该公司服务器上的患者数据。
根据诉讼所披露的信息,数据泄露事件发生在 8 月 31 日左右,当时攻击者进入了北极星健康联盟成员迦太基地区医院、克拉克斯顿-赫本医疗中心和北方骨科集团的 IT 基础架构,渗出数据并将窃取的数据传输到一家名为 Wasabi的 云存储公司所拥有和运营的云服务器上。
该诉讼指控两名自称是LockBit的匿名人士“合谋进行复杂的网络犯罪和被盗资产的转移”,而针对攻击者的法律诉讼是为了使该医院联盟能够发出传票,要求 Wasabi 交出 LockBit存储在服务器中的数据,同时希望获得禁令,阻止这些数据被访问、复制或外泄,并在交出数据后销毁其他所有副本。
联盟表示,他们需要访问这些数据,以识别和通知被泄露了数据的个人。
据悉,Wasabi已经向联邦调查局提供了被盗数据的副本,并表示致力于遵守所有相关监管要求。
一些专家表示,这起事件给其他科技公司提了个醒,特别是如果自身服务或基础设施被网络犯罪分子用于数据存储或其他非法活动的情况下。
监管律师雷切尔·罗斯(Rachel Rose)表示,这引发了有关网络犯罪组织与第三方之间有趣的潜在“协助和教唆”关系以及同谋问题。
安全公司 Critical Insight 的联合创始人兼首席信息安全官迈克·汉密尔顿(Mike Hamilton)表示,该案件凸显了其他实体在遭受涉及数据外泄的网络攻击后可能面临的一种情况,比如FBI一直在使用工具在互联网上扫描被盗记录,当发现国内服务提供商藏有此类信息时,如果该公司对删除信息毫不妥协,或者认为这一要求会使该公司陷入责任困境,那么提起诉讼似乎就是顺理成章的事情了。
此外,他也指出,金融领域的法规,包括与加密货币交易所相关的法规要求公司了解自己的客户,对云提供商提出这类要求是合理的,以防止被盗信息被存放、泄露。
隐私与安全咨询公司 Clearwater 的副总裁戴夫·贝利(Dave Bailey)表示,案件也凸显了技术供应商正寻求如何防止在不知情的情况下卷入客户实施的网络犯罪时可能遇到的法律问题,这涉及共享明确的同意和用户协议,概述了其服务的法律参数和适当使用。
针对犯罪分子在面对联邦调查局调查时不会承认恶意使用这一情况,他认为云提供商没有责任识别这一点,确认盗窃的唯一方法是通过所有者的身份进行识别或向执法部门进行举报。