Medibank hôm thứ Năm đã xác nhận rằng các tác nhân đe dọa đằng sau cuộc tấn công mạng tàn khốc đã đăng một kho dữ liệu khác bị đánh cắp từ các hệ thống của họ lên web đen sau khi từ chối trả tiền chuộc.
“Chúng tôi đang trong quá trình phân tích dữ liệu, nhưng dữ liệu được công bố dường như là dữ liệu mà chúng tôi tin rằng bọn tội phạm đã đánh cắp,” công ty bảo hiểm y tế Úc cho biết.
“Trong khi cuộc điều tra của chúng tôi đang tiếp tục, hiện tại không có dấu hiệu nào cho thấy dữ liệu tài chính hoặc ngân hàng đã bị lấy cắp. Và bản thân dữ liệu cá nhân bị đánh cắp không đủ để kích hoạt gian lận tài chính và nhận dạng. Dữ liệu thô mà chúng tôi đã phân tích hôm nay là không đầy đủ và khó hiểu.”
Vụ rò rỉ xảy ra gần một tháng sau khi công ty thừa nhận rằng dữ liệu cá nhân của khoảng 9,7 triệu khách hàng hiện tại và trước đây của họ đã bị truy cập sau sự cố ransomware vào tháng 10 năm 2022.
Con số này bao gồm 5,1 triệu khách hàng Medibank, 2,8 triệu khách hàng ahm và 1,8 triệu khách hàng quốc tế. Cũng được truy cập là các yêu cầu về sức khỏe của khoảng 160.000 khách hàng Medibank, 300.000 khách hàng ahm và 20.000 khách hàng quốc tế.
Bộ dữ liệu mới nhất, đã được tải lên dưới dạng sáu tệp lưu trữ ZIP, bao gồm thông tin yêu cầu về sức khỏe, mặc dù Medibank lưu ý rằng nhiều dữ liệu bị phân mảnh và không được kết hợp với tên khách hàng và chi tiết liên hệ.
Thủ phạm của vụ tấn công bị nghi ngờ sống ở Nga và có liên hệ với nhóm ransomware REvil, nhóm đã quay trở lại vào đầu tháng 5 này.
Sự phát triển này cũng trùng hợp với việc Văn phòng Ủy ban Thông tin Úc (OAIC) công bố một cuộc điều tra về các hoạt động xử lý dữ liệu của Medibank liên quan đến sự cố bảo mật.
Một cuộc thăm dò tương tự đã được tiến hành với gã khổng lồ viễn thông Optus, công ty đã bị vi phạm vào cuối tháng 9 năm 2022, để xác định xem công ty có “thực hiện các bước hợp lý để bảo vệ thông tin cá nhân mà họ nắm giữ khỏi bị lạm dụng, can thiệp, mất mát, truy cập trái phép, sửa đổi hoặc tiết lộ hay không .”
Các vi phạm lớn cũng đã khiến chính phủ Úc thông qua luật mới có thể khiến các công ty phải đối mặt với khoản tiền phạt lên tới 50 triệu đô la Úc đối với các vi phạm dữ liệu nghiêm trọng hoặc lặp đi lặp lại.
