Công ty bảo hiểm y tế Medibank của Úc hôm thứ Tư tiết lộ rằng thông tin cá nhân của tất cả khách hàng của họ đã bị truy cập trái phép sau một cuộc tấn công ransomware gần đây.
Trong một bản cập nhật cho cuộc điều tra đang diễn ra về vụ việc, công ty cho biết những kẻ tấn công có quyền truy cập vào "một lượng đáng kể dữ liệu yêu cầu bồi thường sức khỏe" cũng như dữ liệu cá nhân thuộc về công ty con bảo hiểm y tế ahm và sinh viên quốc tế.
Medibank, một trong những nhà cung cấp bảo hiểm y tế tư nhân lớn nhất của Úc, phục vụ khoảng 3,9 triệu khách hàng trên khắp đất nước.
"Chúng tôi có bằng chứng cho thấy tên tội phạm đã xóa một số dữ liệu này và bây giờ có khả năng tên tội phạm đã đánh cắp thêm dữ liệu tuyên bố về sức khỏe và cá nhân," công ty nói thêm. Do đó, chúng tôi hy vọng rằng số lượng khách hàng bị ảnh hưởng có thể tăng lên đáng kể."
Công ty cũng cho biết họ đang tiếp tục cuộc điều tra để xác định dữ liệu cụ thể nào đã bị đánh cắp trong cuộc tấn công và họ sẽ thông báo trực tiếp cho những khách hàng bị ảnh hưởng về vấn đề này.
Diễn biến này diễn ra khi vụ việc đã trở thành đối tượng điều tra của Cảnh sát Liên bang Úc (AFP), với Medibank thừa nhận rằng nó đã được liên lạc bởi một tác nhân tội phạm tuyên bố đã hút 200GB dữ liệu.
"Dữ liệu đó bao gồm tên và họ, địa chỉ, ngày sinh, số Medicare, số chính sách, số điện thoại và một số dữ liệu yêu cầu bồi thường," nó lưu ý. "Dữ liệu tuyên bố này bao gồm vị trí mà khách hàng nhận được dịch vụ y tế và các mã liên quan đến chẩn đoán và thủ tục của họ."
Các thông tin cá nhân có thể nhận dạng duy nhất khác như số hộ chiếu liên quan đến chính sách sinh viên quốc tế cũng đã được truy cập, nhưng Medibank nhấn mạnh rằng họ không tìm thấy bằng chứng nào cho thấy chi tiết ghi nợ trực tiếp đã bị vi phạm.
Trong một thông báo riêng của nhà đầu tư, Medibank cho biết họ đã tăng cường khả năng giám sát để ngăn chặn các cuộc tấn công như vậy trong tương lai. Nó cũng ước tính sự kiện tội phạm mạng sẽ tiêu tốn của nó ở bất cứ đâu từ 25 triệu đô la Úc đến 35 triệu đô la Úc.
Khách hàng của Medibank đã được khuyến nghị cảnh giác với bất kỳ trò gian lận lừa đảo hoặc lừa đảo nào, với việc công ty cam kết các dịch vụ giám sát danh tính miễn phí và hỗ trợ tài chính cho những người "đang ở trong tình trạng dễ bị tổn thương duy nhất do hậu quả của tội ác này. "
Vụ hack Medibank diễn ra sau một cuộc tấn công mạng khác nhằm vào gã khổng lồ viễn thông Úc Optus,dẫn đến việc đánh cắp gần 2,1 triệu khách hàng hiện tại và trước đây của hãng.
Các vụ vi phạm dữ liệu nổi tiếng và gây thiệt hại đã khiến chính phủ Úc đưa ra các luật bảo vệ dữ liệu nghiêm ngặt, bao gồm tăng các hình phạt tiền tệ lên tới 50 triệu đô la Úc so với mức trần 2,2 triệu đô la Úc hiện tại.
Dự luật sửa đổi luật bảo mật mới năm 2022 cũng tìm cách giao cho Ủy viên Thông tin Úc nhiều quyền hạn hơn để giải quyết các vi phạm quyền riêng tư.
"Các vi phạm quyền riêng tư đáng kể trong những tuần gần đây đã cho thấy các biện pháp bảo vệ hiện tại là không đầy đủ," Bộ trưởng Tư pháp Mark Dreyfus nói. "Chúng tôi cần luật tốt hơn để điều chỉnh cách các công ty quản lý lượng dữ liệu khổng lồ mà họ thu thập và các hình phạt lớn hơn để khuyến khích hành vi tốt hơn."