Данные, украденные у австралийского медицинского страховщика, включая имена, адреса и даты рождения сотен клиентов, были размещены на форуме в так называемой темной сети.
Файлы, по-видимому, являются образцом данных, к которым был получен доступ, говорится в заявлении Medibank в среду. Компания ожидает, что будет опубликовано больше данных, после того как ранее на этой неделе было заявлено, что хакеры раскрыли информацию примерно о 9,7 миллионах человек.
Обнародование личной информации произошло после масштабной утечки данных в сингапурском телекоммуникационном подразделении Optus в сентябре, в результате которой были раскрыты данные целых 10 миллионов клиентов. Другие недавние взломы провайдера патологоанатомических услуг Australian Clinical Labs и дочерней компании Woolworths MyDeal вызвали обеспокоенность тем, что австралийские компании делают недостаточно для защиты данных клиентов.
- Индийские фирмы-«Хакеры по найму» проникают в телефоны VIP-персон, почту за плату: Отчет
Хакеры предупредили рано утром во вторник, что они опубликуют данные в течение 24 часов, на следующий день после того, как базирующаяся в Мельбурне компания заявила, что не будет платить выкуп, потому что это только подстегнет дальнейшие преступления. Утечка данных содержала подробную информацию о примерно 100 клиентах, включая их лечение от зависимости от каннабиса, злоупотребления алкоголем, беспокойства и употребления наркотиков, сообщает Australian Financial Review.
По данным аналитиков Bloomberg Intelligence Мэтта Ингрэма и Джека Бакстера, утечка данных Medibank может стоить компании более 129 миллионов долларов (примерно 1050 крор рупий). По словам аналитиков, медицинский страховщик, который уже отложил повышение страховых взносов для пострадавших клиентов, может столкнуться с компенсацией в размере от 500 австралийских долларов (примерно 26 300 рупий) до 20 000 австралийских долларов (примерно 1 052 300 рупий) для пострадавших страхователей.
Акции Medibank выросли на 0,7 процента на дневных торгах в Сиднее в среду. Акции упали примерно на 20 процентов с тех пор, как взлом был впервые обнаружен чуть менее месяца назад, сократив рыночную стоимость компании примерно на 2 миллиарда австралийских долларов (примерно 10 500 крор рупий).
- Биржа деривативов криптовалюты Deribit взломана на 28 миллионов долларов: Подробности
Раскрытие первой порции информации и угрозы опубликовать больше могут быть направлены на то, чтобы заставить Medibank заплатить выкуп, сказал Джош Лемон, который преподает кибербезопасность в Институте SANS.
“К сожалению, выплата выкупа не всегда гарантирует, что данные не будут обнародованы или перепроданы другим киберпреступникам”, — сказал Лемон. “Я не верю, что выплата выкупа на данном этапе принесет гораздо больше пользы, чем отсрочка того, как быстро данные могут быть обнародованы”.
Министр внутренних дел Клэр О’Нил заявила, что решение Medibank не выплачивать выкуп киберпреступникам соответствовало рекомендациям правительства.
“Оплата им только подпитывает бизнес-модель программ-вымогателей”, — сказал О’Нил. “Они обязуются предпринимать действия в обмен на оплату, но так часто повторно становятся жертвами компаний и частных лиц”.
- Австралийские клинические лаборатории взломаны, данные украдены по мере распространения эпидемии хакерства
“Ни при каких обстоятельствах Medibank не должен рассматривать возможность выплаты выкупа”, — сказал Трой Хант, который управляет сайтом отслеживания взломов haveibeenpwned. “Их позиция по этому вопросу была правильной и отражает позицию правительства в отношении киберпреступности и выкупов”.
Операция австралийской федеральной полиции Guardian, которая первоначально была создана для защиты жертв взлома данных Optus, будет расширена за счет жертв взлома Medibank, заявила в среду помощник комиссара Джастин Гоф.
Правительство в среду также приняло закон, увеличивающий штраф за повторные или серьезные нарушения конфиденциальности как минимум до 50 миллионов австралийских долларов (примерно 260 крор рупий).
“Значительные нарушения конфиденциальности в последние недели показали, что существующие меры предосторожности устарели и неадекватны. Этот законопроект ясно дает понять компаниям, что штраф за крупное нарушение данных больше не может рассматриваться как стоимость ведения бизнеса”, — говорится в заявлении генерального прокурора Марка Дрейфуса.
© 2022 Блумберг Л.П.