מנתח פלסטי מפורסם בבוורלי הילס, שהופיע בתוכניות טלוויזיה כולל "Botched" ו-"The Doctors", נתבע על ידי מטופלים שטוענים שתמונות העירום שלהם פורסמו באינטרנט לאחר פריצת סייבר – פעמיים – ושהוא חיכה חודשים כדי ליידע אותם על הפרות המידע.
שמונה מטופלים הגישו תביעה ייצוגית בטענה שד"ר חיימה שוורץ לא הצליח לשמור על אבטחת סייבר נאותה למרות אזהרות מרובות, וכתוצאה מכך נגנב מידע רגיש מאוד ופורסם באינטרנט. הסיפור דווח לראשונה על ידי אתר 404 .
הנתונים שנפרצו כללו לכאורה את שמות המטופלים, מספרי הטלפון וכתובות הבית שלהם, כמו גם את רישיון הנהיגה, הביטוח, כרטיס האשראי והמידע הרפואי שלהם, לפי התלונה. כמו כן, פורסמו תמונות וסרטונים של מטופלים בעירום ובלבוש חלקי, כולל תמונות שלהם עוברים ניתוח כשהם בהרדמה, כך נטען בתביעה.
על פי החשד, שוורץ לא הודיע למטופלים על פריצת הסייבר הראשונית בספטמבר 2023 ולאחר מכן במרץ 2024 בזמן, או לטפל בחולשות אבטחה בין התקריות, נכתב בתביעה.
לפי התלונה, הוא הודיע למטופלים רק בינואר, לאחר שחלקם מצאו מידע על ההפרות באינטרנט. בתביעה נטען שהיא לא סיפק הודעה נדרשת למשרד התובע הכללי של קליפורניה או לסוכנות הבריאות ושירותי האנוש של המדינה.
"למרות שידע שהנתונים הרפואיים הפרטיים ביותר של מטופליו נמצאים בידי שחקנים זדוניים, ד"ר שוורץ חיכה כמעט 10 חודשים כדי להודיע להם", נכתב בתלונה. "לבסוף, לאחר שתמונות העירום וכתובות הבית שלהם החלו להתפרסם באינטרנט – נגישים לכל מי שיש לו חיבור לאינטרנט – ד"ר שוורץ הוציא הודעה שטחית, מעורפלת ומטעה על הפרת מידע".
בתביעה נטען כי הפריצות הותירו מטופלים חשופים לגניבת זהות וגרמו להם למצוקה רגשית קשה עקב "ההשפלה, ההלם, הדאגה והחרדה" מהידיעה שהמידע והתמונות שלהם יכולים להיות, או כבר פורסמו, ברשת.
הפיצויים והפיצויים והעונשיים שהתובעים מבקשים יהיו ככל הנראה ב"עשרות מיליוני דולרים", אמר עורך הדין שלהם, דמיון רובינסון.
התובעים טוענים כי לשוורץ, מנתח פלסטי בולט עם למעלה מ-189,000 עוקבים באינסטגרם ובמשרדים בבוורלי הילס ובדובאי, הוזהר בעבר על הצורך להגן על הנתונים של הלקוח שלו, אך לא נקט בצעדים הדרושים לאבטחת הרשת שלו. "ד"ר שוורץ ואחרים בתחום הרפואי – ובמיוחד בתחום הכירורגיה הפלסטית – הוזהרו במשך שנים על ידי סוכנויות ממשלתיות וארגונים מקצועיים שהם מטרות להאקרים המחפשים מידע רגיש של חולים לצורך כופר וסחיטה", נכתב בתלונה.
במהלך השנים האחרונות, האקרים התמקדו בשיטות ניתוח פלסטי כיוון שניתן להשתמש בנתונים הרגישים שהם מאחסנים כדי להקל על גניבת זהות, כמו גם לנסות לסחוט רופאים וחולים.
בדו"ח שפורסם ב-2019, ה-American Medical Assn. ציין כי 83% מהרופאים חוו צורה כלשהי של מתקפת סייבר, ואפיינו את אבטחת הסייבר כ"בעיית בטיחות למטופל".
על פי דיווח מאת DataBreaches.net, היו לפחות 13 מתקפות סייבר שדווחו בפומבי על שיטות ניתוח פלסטי בין 2017 ל-2023. בשנת 2023, ה-FBI פרסם הודעת שירות לציבור שהזהירה כי פושעים מכוונים למשרדי כירורגיה פלסטית "כדי לאסוף מידע אישי מזהה ותעודות רפואיות רגישות לכלול כמה רשומות רפואיות רגישות".
האקרים פרסמו עד היום את המידע האישי של 30 ממטופליו של שוורץ, כך נטען בתביעה, ומאיימים להמשיך לעשות זאת עד שיקבלו כופר.
עולם הרפואה סובל זה מכבר מסוג כזה של סחיטה. הן בתי החולים הגדולים והן המרפאות הפרטיות סבלו מפריצות מידע בשנים האחרונות, ולמעלה מ-500 הפרות בדרגות שונות דווחו למחלקת הבריאות ושירותי האנוש של ארה"ב בשנת 2024.
מנתחים פלסטיים, לעומת זאת, הפכו לאחרונה למטרה פופולרית בגלל סוג הנתונים שהם שומרים. תיק המטופל כולל לא רק את המידע הרפואי והפיננסי שלו, אלא גם תמונות שצולמו כחלק מתהליך הטיפול. בהתאם לניתוח, רבים מהתמונות הללו מבוצעות בעירום. ב-2017, האקרים כיוונו למנתח פלסטי שלקוחותיו כללו לכאורה משפחות מלכותיות וגנבו שפע של תמונות אישיות ביותר.
שוורץ שלח למטופליו הודעה כללית על הפריצה השנייה בינואר 2025. הוא כתב כי, "צד שלישי לא מורשה השתמש באישורים של ספק צד שלישי כדי לגשת למערכת החיובים הרפואיים וניהול הפרקטיקה של המרפאה… נקבע שחלק מהמידע האישי שלך היה קיים במערך הנתונים המושפעים. לאחר מכן נקטנו צעדים כדי להודיע לך על האירוע במהירות האפשרית".
למרות הבטחתו של ראש אבטחת הסייבר לשיפוץ מערכת מלא, התביעה טוענת שהצוות של שוורץ לא איבטח מספיק את המכשירים המחוברים לרשת שלו, לא הכשיר את הצוות שלו להימנע מאימיילים זדוניים, ולא בדק כראוי או איבטח את ספקי הצד השלישי שלו עם גישה לנתוני מטופלים רגישים. היא גם טוענת שוורץ לא ניטר כראוי את פעילות הרשת שלה או הטמיע "בקרות 'תנועה' מתאימים ברשת.
