Der private Versicherer Medibank erwartet, dass mehr Kundendaten online veröffentlicht werden.
Ein Cyber-Erpresser hat Einzelheiten der Krankengeschichten von Australiern online preisgegeben, nachdem sich ein privater Krankenversicherer geweigert hatte, ein Lösegeld für die gehackten Aufzeichnungen von fast 10 Millionen Kunden zu zahlen.
Die Medibank sagte am Mittwoch, sie erwarte, dass weitere Kundendaten veröffentlicht werden, nachdem der Erpresser persönliche Informationen, einschließlich Namen, Adressen und Einzelheiten zu medizinischen Verfahren, in einem Dark-Web-Forum veröffentlicht hatte.
Lokale Medien berichteten, dass die Daten in einem Forum veröffentlicht wurden, das mit REvil verbunden ist, einer Ransomware-Kriminellengruppe, die die russischen Behörden Anfang dieses Jahres auf Ersuchen der Vereinigten Staaten geschlossen haben.
Der CEO von Medibank, David Koczkar, sagte in einer Erklärung, das Leck sei „dazu bestimmt, unseren Kunden zu schaden und Stress zu verursachen“, und wiederholte eine frühere Entschuldigung bei den Kunden für den Cyberangriff.
Medibank berichtete, dass sie im vergangenen Monat einem Cyberangriff ausgesetzt war, und schätzte zunächst, dass vier Millionen Kunden betroffen waren, bevor sie die Zahl auf 9,7 Millionen revidierte.
„Es ist immer ein Schock, wenn Ihre Daten online durchgesickert sind, besonders bei dieser Menge dieser Sensibilität“, sagte Troy Hunt, Cybersicherheitsexperte und Microsoft-Regionaldirektor in Australien, gegenüber Al Jazeera.
„Wenn Sie eine Krankenversicherung wünschen, müssen sie leider genau diese Art von Informationen speichern.“
Premierminister Anthony Albanese sagte, die Regierung arbeite mit den Behörden zusammen, um auf den Cyberangriff zu reagieren, der auf eine Reihe von jüngsten Datenschutzverletzungen in Australien folgt, darunter beim zweitgrößten Telekommunikationsunternehmen des Landes.
„Das ist wirklich hart für die Leute“, sagte Albanese auf einer Pressekonferenz. „Ich bin auch ein Privatkunde der Medibank, und es wird mich beunruhigen, dass einige dieser Informationen veröffentlicht wurden.“
Am Montag veröffentlichte ein Blogger mit dem Namen „Extortion Gang“ eine Nachricht im Dark Web, in der er drohte, die gehackten Daten innerhalb von 24 Stunden zu veröffentlichen, wenn kein Lösegeld gezahlt würde.
Medibank sagte, dass sie sich mit Experten für Cyberkriminalität beraten habe, bevor sie feststellte, dass die Zahlung des Lösegelds die Rückgabe der Kundendaten nicht sicherstellen würde und „mehr Menschen in Gefahr bringen könnte, indem sie Australien zu einem größeren Ziel macht“.
Cybersicherheitsministerin Clare O’Neil sagte, die Entscheidung der Medibank, nicht zu zahlen, stehe im Einklang mit dem Rat der Regierung und forderte Social-Media-Plattformen und Medienorganisationen auf, den Austausch gestohlener Krankengeschichten nicht zu erleichtern.
„Wenn Sie dies tun, unterstützen und unterstützen Sie die Drecksäcke, die im Herzen dieser kriminellen Handlungen stehen, und ich weiß, dass Sie das Ihrem eigenen Land und Ihren eigenen Bürgern nicht antun würden“, sagte O’Neil dem Parlament.