泄露上百万患者健康信息，医药巨头赔偿2.87亿元

至少143万人敏感数据受影响

2024年2月21日，Cencora在向美国证券交易委员会（SEC）提交的文件中披露，公司于当天发现其信息系统中的数据被外泄。

同年7月31日，Cencora在更新的SEC文件中确认，被盗数据的规模超出最初预期。此次泄露至少波及27家制药公司，涉及的个人及受保护健康信息包括：姓名、地址、出生日期、社会安全号码、健康及保险信息、财务信息、交易信息、消费者档案信息、种族/民族身份、政治观点、性取向/性别认同、犯罪记录、IP地址、其他电子标识符、生物识别信息、基因信息、工会会员信息，以及驾照和护照信息。

由于多家机构分别通报了此次泄露事件，确切受影响人数仍无法确定。据外媒TechCrunch根据提交给各州司法部长的泄露报告统计，至少有143万人已被通知，其数据在这次安全事件中遭到泄露。由于只有少数州会公开披露受影响人数，实际总人数很可能远高于143万。

多起针对Cencora、Lash集团及部分受影响制药公司的集体诉讼已被合并为一案（Anaya等诉Cencora公司等案），并在美国宾夕法尼亚州东区联邦地区法院审理。原告指控，被告未能采取合理且适当的安全措施保护敏感数据，构成过失，导致数据被盗。

被告在不承认任何不当行为或法律责任的前提下选择和解，同意设立一个4000万美元的和解基金，用于支付律师费（最高1333.3333万美元）、律师开支（最高30万美元）、28名集体代表的服务奖励（总计4.2万美元），以及和解管理费用（具体金额待定）。

和解基金剩余部分将用于向集体成员赔偿。成员可提交索赔申请，要求补偿因数据泄露而产生、可合理追溯至此次事件且未获报销的实际自付损失，这些损失需发生在2023年9月1日或之后。每位成员的索赔上限为5000美元，总赔偿金额上限为500万美元；若总额超限，将按比例分配。成员也可选择申请现金基金赔付，金额将根据有效索赔的数量确定。

此次事件影响27家制药公司

Cencora公司与制药公司、医疗服务提供者及药店合作，提供药品分销、患者支持服务、业务分析与技术支持。据统计，美国约20%的药品销售与分销业务由该公司处理。

Cencora及Lash集团的客户去年5月开始向州司法部长报告此次数据泄露。受影响客户的具体数量尚未确认，但已知至少有27家制药和生物技术公司受到波及，涉及数十万人的个人数据被盗。

根据目前提交的通报，受影响公司包括：阿博特、艾伯维公司、阿卡迪亚制药公司、拜耳公司、CareDx公司、邓德利安制药有限公司、恩多制药公司、基因泰克公司、葛兰素史克集团及葛兰素史克患者准入项目基金会、强生公司及强生患者援助基金会、诺华制药公司、辉瑞公司、雷纳公司、再生元制药公司、住友制药美国公司、武田美国制药公司等。

虽然目前尚无证据显示数据被滥用，受影响个人已获提供为期24个月的信用监控与身份盗用防护服务，且无需支付费用。同时，公司已采取额外防御措施，防止类似事件重演。截至目前，没有网络犯罪组织声称对此次攻击负责。