CANBERRA, Australien (AP) – Ein Cyberkrimineller hielt die Kundendaten eines australischen Krankenversicherers, einschließlich Diagnosen und Behandlungen, in der zweiten großen Datenschutzverletzung des Landes innerhalb eines Monats fest, um Lösegeld zu erpressen, sagten Beamte am Donnerstag.
Der Handel mit Medibank-Aktien wurde an der australischen Wertpapierbörse seit Mittwoch gestoppt, als die Polizei alarmiert wurde, dass das Unternehmen von einem „Kriminellen“ kontaktiert wurde, der über die gestohlenen persönlichen Daten von Kunden verhandeln wollte.
Medibank, die 3,7 Millionen Kunden hat, sagte am Donnerstag, der Kriminelle habe eine Probe von 100 Kundenpolicen aus einer angeblichen Menge von 200 Gigabyte gestohlener Daten zur Verfügung gestellt.
Zu den Details gehörten Kundennamen, Adressen, Geburtsdaten, nationale Gesundheitsidentifikationsnummern und Telefonnummern.
Cybersicherheitsministerin Clare O’Neil sagte, am besorgniserregendsten sei, dass auch Aufzeichnungen über medizinische Diagnosen und Verfahren gestohlen worden seien.
„Finanzkriminalität ist eine schreckliche Sache. Aber letztendlich kann eine Kreditkarte ersetzt werden“, sagte O’Neil gegenüber Reportern.
„Die Drohung, die hier gemacht wird, die privaten, persönlichen Gesundheitsinformationen von Australiern der Öffentlichkeit zugänglich zu machen, ist eine Hundetat“, fügte sie hinzu.
Der Dieb hatte gedroht, Medibank-Daten an Dritte zu verkaufen, und Aufzeichnungen von 1.000 Politikern, Medienpersönlichkeiten, Schauspielern, LGBTQ-Aktivisten und Drogenabhängigen zur Enthüllung herausgegriffen, berichtete Nine Network News.
„Wir haben Leute mit sehr interessanten Diagnosen gefunden“, soll der Dieb an die Medibank geschrieben haben.
Medibank lehnte es ab, sich zu den gemeldeten Drohungen zu äußern und würde über ihre Erklärung gegenüber der australischen Wertpapierbörse hinaus keine Details veröffentlichen.
Die Verletzung der Medibank erfolgte einen Monat, nachdem ein Cyberangriff dem Telekommunikationsunternehmen Optus die persönlichen Daten von 9,8 Millionen Kunden gestohlen hatte.
Die Optus-Verletzung, die die personenbezogenen Daten von mehr als einem Drittel der australischen Bevölkerung gefährdete, veranlasste die Regierung, dringende Reformen der Datenschutzgesetze vorzuschlagen, die die Strafen für Unternehmen erhöhen würden, die es versäumen, Kundendaten zu schützen und die Datenmenge zu begrenzen, die dies kann beibehalten werden.
O’Neil sagte, Cyberkriminalität sei ein wachsendes Problem auf der ganzen Welt und Australien müsse besser vorbereitet sein.
„Wir werden von nun an im Wesentlichen unerbittlichen Cyberangriffen ausgesetzt sein, und das bedeutet, dass wir als Land viel besser werden müssen, um sicherzustellen, dass wir innerhalb von Organisationen alles tun, was wir können, um Kundendaten und auch für zu schützen Bürger, alles zu tun, was sie können“, sagte O’Neil.
„In Kombination mit Optus ist dies ein großer Weckruf für das Land und gibt der Regierung sicherlich ein wirklich klares Mandat, einige Dinge zu tun, die ehrlich gesagt wahrscheinlich vor fünf Jahren hätten getan werden sollen, aber meiner Meinung nach immer noch sehr wichtig sind.“ Sie fügte hinzu und bezog sich auf Reformen des Datenschutzgesetzes, die die Regierung dieses Jahr durch das Parlament bringen will.
O’Neil beschrieb die Verletzung der Medibank als „Ransomware-Angriff“, den die Regierung als Angriff mit Malware definiert, der Dateien sperrt oder verschlüsselt, sodass der Eigentümer nicht mehr darauf zugreifen kann.
O’Neils Büro sagte später, sie habe sich falsch ausgedrückt und meinte, der Täter habe Lösegeld verlangt.
Medibank sagte, ihre Systeme seien nicht durch Ransomware verschlüsselt worden und ihre üblichen Kundenaktivitäten würden fortgesetzt.
Medibank-Chef David Koczkar sagte, sein Unternehmen arbeite als Reaktion auf den Verstoß mit spezialisierten Cybersicherheitsfirmen sowie Polizei- und Regierungsexperten zusammen.
„Ich entschuldige mich vorbehaltlos für dieses Verbrechen, das gegen unsere Kunden, unsere Mitarbeiter und die breitere Gemeinschaft begangen wurde“, sagte Koczkar in einer Erklärung.
„Ich weiß, dass viele von Medibank enttäuscht sein werden, und ich erkenne diese Enttäuschung an“, fügte er hinzu.