加拿大最大規模的醫療化驗公司LifeLabs遭黑客擊攻擊勒索,可能有多達1,500萬國民的個人資料外泄,事件有新發展。卑詩省一名男子入稟法院控告LifeLabs,指它未盡責任保護客戶資料,他同時要求批准列作集體訴訟。化驗公司負責人解釋,向黑客付贖金是要取回數據。不過,有保安專家批評付贖金的做法危險,變相鼓勵對方食髓知味繼續勒索。
溫哥華退休電腦技術員莫里森(Kenneth Morrison)周三入稟卑詩最高法院,控告LifeLabs並提出民事索賠,理由是該公司違反了與他的協議,未有充分保護他的個人資料。
訴訟稱,保護客戶個人資料是LifeLabs與客戶協議的重要條款。而該公司明知道客戶個人資料有外泄的風險,卻未能採取足夠的加密和保護措施,防止未經授權的人士進入數據庫。
訴訟書又表示,事件令原訴人的私隱被侵犯,更有可能因此令原訴人被不法分子盜用身份、網絡釣魚、勒索,以及敏感醫療資料進一步泄漏。
要求法庭批准作集體訴訟
原訴人現尋求一般和懲罰賠償,以及利息。 還有,訴訟要求法庭批准列作集體訴訟,讓任何在2019年12月17日之前,成為LifeLabs客戶的卑詩省民加入訴訟。 LifeLabs尚未向法院作出正式回應。而上述指控迄未在法庭得到證明。
LifeLabs發表聲明,為事件道歉,並表示,已聘請網絡保安專家來保護系統安全並確定受攻擊範圍,同時支付了贖金以保護資料安全。
對於此宗事件,安省前私隱專員及Privacy by Design創辦人卡沃庫安(Ann Cavoukian)指出,相信許多人都會認為,擁有如此龐大資料的大公司,應有最強大的保安措施,然而實際上並非如此。
兩省私隱專員展開調查
卡沃庫安補充道,安省和卑詩省私隱專員正進行調查,並了解怎樣會發生這種事情,以及LifeLabs為何花了數周時間才公布出來。
至於為何付贖金,LifeLabs的行政總裁布朗(Charles Brown)強調,決定支付贖金並不容易,但該公司感到有責任,要盡一切可能取回數據,以保障客戶的最大利益。他認為,事件對整個行業發出警訊,不管是私營公司、政府和醫院,網絡入侵和攻擊都在增加,大家必須共同做更多的工作,以確保所有客戶的資料都安全。
網絡保安公司Darktrace的企業安全總監馬森(David Masson)表示,儘管支付贖金是一個相當普遍的商業決定,但是亦可能會帶來一些負面影響,因為可能變相鼓勵不法份子繼續勒索。
本報綜合報道