ハッカーがすべてのメディバンクの顧客個人データにアクセスしたと供述

オーストラリアの保険会社 Medibank は、最近のランサムウェア攻撃で、ハッカーが顧客のすべての個人データと大量の健康保険請求データにアクセスしたことを確認したと発表しました

本日公開された発表の中で、両社は、攻撃に関する内部調査により、攻撃者が当初考えられていたよりもはるかに多くの顧客データにアクセスできることが示されたと警告しています。

具体的には、メディバンクは次のデータが侵害されたことを確認しています。

• すべての ahm 顧客の個人データと大量の健康強調表示データ
• すべての留学生の顧客の個人データと大量の健康保険請求データ
• Medibank のすべての顧客の個人データと大量の健康保険請求データ

データ アクセスとデータの流出は別物ですが、メディバンクは、攻撃者がアクセスしたデータの一部を削除することに成功した場合があるという証拠を発見しました。

「以前に通知されたように、犯罪者がこのデータの一部を削除したという証拠があり、犯罪者がさらに個人および健康に関する主張データを盗んだ可能性が高い。その結果、影響を受ける顧客の数が大幅に増える可能性があると予想しています。」

先週、Medibank は 280 万人の顧客に、顧客データがアクセスされたり盗まれたりしたという証拠はないと保証し、ハッカーは阻止される前に何も暗号化していなかったとコメントしました。

ただし、多くのランサムウェアグループは、デバイスの暗号化を試みる前に企業データを盗みます。これは、この攻撃中に発生したようです。

同社がセキュリティ インシデントの影響を軽視した数日後、ランサムウェアグループは同社に連絡を取り、攻撃中に盗まれたとされる 200 GB のデータから 100 個の盗まれたファイルのサンプルを提供しました。

Medibank は、攻撃者が顧客データを盗み出したことにすぐに気付きました。そのため、内部調査はより的を絞ったアプローチを取り、最終的に大規模なデータ侵害が明らかになりました。

この開発に基づいて、メディバンクは現在、以下を提供することにより、顧客への対応とサポートをアップグレードしています。

• この犯罪の結果として、独特の脆弱な立場にある顧客への財政的支援。
• プライマリ ID が侵害された顧客向けの無料の ID 監視サービス
• この犯罪で完全に侵害された身分証明書の再発行手数料の払い戻し。
• IDCARE のスペシャリストによる個人情報保護のアドバイスとリソース。
• Medibank のメンタルヘルスとウェルビーイング サポート ライン。

オーストラリアは新たに保護法を改正

一方、過去数週間でいくつかのオーストラリア企業を襲った一連の注目を集め、損害を与えるデータ侵害を受けて、政府はより厳格なデータ保護法の導入に取り組んでいます.

オーストラリア政府が土曜日に発表した新しいプライバシー法改正法案 2022 の提案は、次のことを目的としています。

• プライバシー侵害の罰則を 222 万豪ドルから 5,000 万豪ドルに引き上げ、
• または、情報の悪用によって得られる利益の価値の 3 倍。
• または、該当する期間の会社の調整済み売上高の 30% (それより大きい場合)。

この法案はまた、オーストラリアの情報コミッショナーに、プライバシー侵害を解決するより大きな権限を与え、企業が侵害されたものに関するすべての詳細を政府機関と共有することを強制します.

また、コミッショナーとオーストラリア通信メディア局との間のデータ共有チャネルも確立しています。