.
O Medibank revelou que todos os seus 3,9 milhões de clientes tiveram seus dados expostos a um hacker, em uma escalada significativa do ataque cibernético à seguradora de saúde australiana.
Em uma atualização para a bolsa de valores australiana na quarta-feira, a empresa disse que desde o anúncio de terça-feira de que todos os dados de clientes podem ter sido expostos, a investigação sobre a violação agora estabeleceu que o hacker teve acesso a todos os dados pessoais de clientes do Medibank, ahm e estudantes internacionais. dados e quantidades significativas de dados de alegações de saúde.
As informações pessoais incluem nome, endereço, data de nascimento, alguns números de cartão do Medicare e sexo. As informações de saúde incluem os códigos de reclamação feitos pelos clientes.
O Medibank ainda não pode dizer definitivamente quantos ou quais clientes são afetados além dos 1.000 registros fornecidos à seguradora pelo hacker nas últimas duas semanas. É através desta comunicação com o hacker que o Medibank conseguiu determinar a extensão da violação até agora.
A violação também afetará ex-clientes, com o Medibank confirmando ontem que as leis estaduais e territoriais de registro de saúde exigem que a empresa mantenha os dados por sete anos.
Os clientes receberão um pacote de suporte financeiro para dificuldades se estiverem em uma “posição excepcionalmente vulnerável” como resultado do hack, e o Medibank diz que reembolsará os clientes pelos custos associados à reemissão de documentos de identidade para aqueles que foram comprometidos no hack .
O hack provavelmente custará à empresa um mínimo entre US$ 25 milhões e US$ 35 milhões, disse o Medibank. Isso ocorre porque o Medibank não possui seguro contra ataques cibernéticos, e esse custo estimado não inclui compensação do cliente ou custos regulatórios ou legais que possam ser movidos contra a empresa.
O Medibank está em comunicação com o hacker – que obteve credenciais roubadas do Medibank de outro hacker em um fórum cibercriminoso russo – mas a empresa se recusou a dizer se pagaria qualquer pedido de resgate feito.
Em uma ligação com investidores na quarta-feira, o chefe de tecnologia e operações do Medibank, John Goodall, disse que a empresa implantou ferramentas de monitoramento em sua rede e essas ferramentas sugerem que o hacker não está mais nos sistemas da empresa.
O presidente-executivo do Medibank, David Koczkar, disse que não há evidências de que as informações do cartão de crédito tenham sido comprometidas, mas não descarta a possibilidade.
“Não temos evidências de que os dados do cartão de crédito tenham sido removidos”, disse ele. “Mas serei muito claro ao dizer que continuamos investigando. E assim que ficar claro para nós se isso mudar, deixaremos claro.”
Ele disse que as informações que a empresa conseguiu obter sobre o ataque foram por meio de comunicações com o hacker, que mostrou evidências dos registros obtidos.
Em comunicado à bolsa de valores, Koczkar pediu desculpas sem reservas aos clientes.
“Este é um crime terrível – este é um crime projetado para causar danos máximos aos membros mais vulneráveis de nossa comunidade.”
O Medibank anunciou na terça-feira que atrasaria os aumentos de prêmios para todos os clientes até o final de janeiro de 2023. Na quarta-feira, a empresa disse que isso custaria cerca de US$ 62 milhões, o que seria compensado pelas economias que a empresa fez durante a pandemia de Covid-19.
O hack está sob investigação da polícia federal australiana.
.
