Công ty bảo hiểm y tế Úc Medibank hôm thứ Tư đã tiết lộ rằng thông tin cá nhân của tất cả các khách hàng của họ đã bị truy cập trái phép sau một cuộc tấn công ransomware gần đây.
Trong một bản cập nhật cho cuộc điều tra đang diễn ra về vụ việc, công ty cho biết những kẻ tấn công có quyền truy cập vào “một lượng đáng kể dữ liệu yêu cầu về sức khỏe” cũng như dữ liệu cá nhân của công ty con bảo hiểm sức khỏe ahm và sinh viên quốc tế.
Medibank, là một trong những nhà cung cấp bảo hiểm y tế tư nhân lớn nhất của Úc, phục vụ khoảng 3,9 triệu khách hàng trên khắp đất nước.
“Chúng tôi có bằng chứng cho thấy tội phạm đã xóa một số dữ liệu này và hiện có khả năng tội phạm đã đánh cắp thêm dữ liệu yêu cầu cá nhân và sức khỏe”, công ty cho biết thêm. “Do đó, chúng tôi hy vọng rằng số lượng khách hàng bị ảnh hưởng có thể tăng lên đáng kể.”
Công ty cũng cho biết họ đang tiếp tục thăm dò để xác định dữ liệu cụ thể nào đã bị đánh cắp trong cuộc tấn công và sẽ thông báo trực tiếp cho những khách hàng bị ảnh hưởng về vấn đề này.
Diễn biến này diễn ra khi vụ việc trở thành chủ đề điều tra của Cảnh sát Liên bang Úc (AFP), với việc Medibank thừa nhận rằng họ đã liên hệ với một kẻ tội phạm tuyên bố đã hút 200GB dữ liệu.
“Dữ liệu đó bao gồm tên và họ, địa chỉ, ngày sinh, số Medicare, số chính sách, số điện thoại và một số dữ liệu yêu cầu bồi thường”, nó lưu ý. “Dữ liệu xác nhận quyền sở hữu này bao gồm vị trí nơi khách hàng nhận được dịch vụ y tế và các mã liên quan đến chẩn đoán và quy trình của họ.”
Thông tin cá nhân có thể nhận dạng duy nhất khác như số hộ chiếu liên quan đến chính sách sinh viên quốc tế cũng đã được truy cập, nhưng Medibank nhấn mạnh rằng họ không tìm thấy bằng chứng cho thấy chi tiết ghi nợ trực tiếp đã bị vi phạm.
Trong một thông báo riêng với nhà đầu tư, Medibank cho biết họ đã tăng cường khả năng giám sát của mình để ngăn chặn các cuộc tấn công như vậy trong tương lai. Nó cũng ước tính sự kiện tội phạm mạng sẽ tiêu tốn khoảng từ 25 triệu đô la Úc đến 35 triệu đô la Úc.
Các khách hàng của Medibank đã được khuyến cáo nên cảnh giác trước bất kỳ hành vi lừa đảo hoặc đánh lừa nào, với việc công ty cam kết cung cấp dịch vụ giám sát danh tính miễn phí và hỗ trợ tài chính cho những người “ở vị trí đặc biệt dễ bị tổn thương do tội phạm này gây ra.”
Vụ hack Medibank diễn ra sau một cuộc tấn công mạng khác nhằm vào tập đoàn viễn thông khổng lồ Optus của Úc, dẫn đến việc đánh cắp gần 2,1 triệu khách hàng hiện tại và trước đây của công ty.
Các vi phạm dữ liệu gây tổn hại và nghiêm trọng đã khiến chính phủ Úc ban hành luật bảo vệ dữ liệu nghiêm ngặt, bao gồm tăng hình phạt tiền lên đến 50 triệu đô la Úc từ mức giới hạn 2,2 triệu đô la Úc hiện tại.
Dự luật sửa đổi pháp luật về quyền riêng tư mới 2022 cũng tìm cách giao cho Ủy viên thông tin Úc nhiều quyền hạn hơn để giải quyết các vi phạm quyền riêng tư.
Bộ trưởng Tư pháp Mark Dreyfus cho biết: “Các vi phạm quyền riêng tư đáng kể trong những tuần gần đây cho thấy các biện pháp bảo vệ hiện tại là không đầy đủ. “Chúng tôi cần luật tốt hơn để điều chỉnh cách các công ty quản lý lượng dữ liệu khổng lồ mà họ thu thập và các hình phạt lớn hơn để khuyến khích hành vi tốt hơn.”
