.
O Medibank confirmou que mais detalhes de clientes comprometidos em uma recente violação de segurança apareceram em um fórum da dark web, descrevendo a venda ilegal como uma desgraça. A seguradora de saúde australiana está se recusando a desembolsar qualquer pagamento de resgate pelos dados, apontando para conselhos de especialistas e diretrizes governamentais.
“A utilização de informações privadas das pessoas como arma em um esforço para extorquir pagamento é maliciosa e um ataque aos membros mais vulneráveis de nossa comunidade”, disse o CEO do Medibank, David Koczkar, em comunicado na quinta-feira. “A liberação desses dados roubados na dark web é vergonhosa.”
A empresa pediu ao público que não baixe os dados, que os hackers na semana passada ameaçaram começar a divulgar no fórum. Os relatórios atestaram demandas de resgate de mais de US$ 10 milhões, ou US$ 1 para cada conta de cliente comprometida.
Anunciado pela primeira vez no mês passado, a violação de segurança comprometeu os dados pessoais de 9,7 milhões de clientes atuais e antigos, bem como alguns de seus representantes autorizados. Entre os impactados estavam 1,8 milhão de clientes internacionais.
De acordo com o Medibank, os hackers não acessaram documentos de identidade primários, como carteiras de motorista para clientes locais, cartão de crédito e informações bancárias. No entanto, eles conseguiram acessar dados como nomes, datas de nascimento, endereços, números de telefone e endereços de e-mail. Dados de reivindicações de saúde de 480.000 clientes também vazaram, incluindo locais onde receberam serviços médicos e códigos vinculados a diagnósticos e procedimentos administrados.
O Medibank verificou na quarta-feira que os arquivos surgiram no fórum e pareciam ser uma amostra de dados vazados, que incluíam números de passaporte de alguns clientes que eram estudantes internacionais. A seguradora disse que espera que mais lotes sejam lançados e informará os clientes cujos dados apareceram no fórum.
Koczkar disse que a empresa não tem planos de pagar resgate aos hackers por trás do roubo de dados.
“Com base nos extensos conselhos que recebemos de especialistas em crimes cibernéticos, acreditamos que há apenas uma chance limitada de pagar um resgate garantir o retorno dos dados de nossos clientes e impedir que sejam publicados”, disse ele na segunda-feira em comunicado ao jornal australiano. Bolsa de Valores. “Pagar pode ter o efeito oposto e encorajar o criminoso a extorquir diretamente nossos clientes, e há uma forte chance de que pagar coloque mais pessoas em perigo, tornando a Austrália um alvo maior”.
“É por essas razões que decidimos que não pagaremos resgate por este evento”, disse ele. “Esta decisão é consistente com a posição do governo australiano.”
O Medibank disse que estava fornecendo suporte aos clientes afetados pela violação por meio de seu Programa de Suporte de Resposta Cibernética, que inclui proteção de identidade, medidas financeiras e suporte ao bem-estar mental.
Ele acrescentou que reforçou o monitoramento existente de sua rede, adicionando recursos de detecção, análise e análise forense em seus sistemas. Ele observou que era exigido por lei reter algumas informações do cliente por pelo menos sete anos a partir da saída do cliente.
Austrália aprova lei para aumentar multas por violação
Enquanto isso, a legislação proposta da Austrália para aumentar as penalidades financeiras para violadores de privacidade de dados foi aprovada na quarta-feira. Ele eleva as multas máximas para violações graves ou repetidas para AU$ 50 milhões ($ 32,34 milhões), de seus atuais AU$ 2,22 milhões, ou três vezes o valor de qualquer benefício obtido por meio do uso indevido de dados, ou 30% do faturamento ajustado da empresa no período relevante, o que for maior.
O Bill também capacita o Australian Information Commissioner para resolver violações de privacidade e compartilhar informações mais rapidamente sobre violações de dados.
Um homem de Sydney na terça-feira se declarou culpado por tentar chantagear os clientes afetados pela violação de dados Optus em setembro.
A comissária assistente da Polícia Federal da Austrália, o Cyber Command, Justine Gough, disse na quarta-feira que procuraria hackers responsáveis por ataques de segurança cibernética, como a violação do Medibank, mesmo que estivessem baseados no exterior.
“Temos poderes significativos, determinação e acesso a redes internacionais de aplicação da lei para ajudar a investigar essa violação”, disse Gough. “Este não é apenas um ataque a uma empresa australiana. As agências de aplicação da lei em todo o mundo sabem que este é um tipo de crime que não tem fronteiras e exige que evidências e capacidades sejam compartilhadas.”
“É uma ofensa comprar dados roubados, que podem ser usados para crimes financeiros”, disse ele, pedindo aos clientes afetados pela violação de dados do Medibank que denunciem à polícia se os hackers tentarem contatá-los com pedidos de resgate. “A chantagem é uma ofensa e aqueles que usam indevidamente informações pessoais roubadas para obter ganhos financeiros podem ser punidos com pena de até 10 anos de prisão.”
De acordo com o Office of the Australian Information Commissioner (OAIC), houve 396 violações de dados relatadas entre janeiro e junho de 2022, uma queda de 14% em relação a julho a dezembro de 2021.
Cerca de 41% de todas as violações, ou 162 notificações à OAIC, foram resultado de incidentes de segurança cibernética. A maioria dos incidentes cibernéticos, 51 notificações, envolveu ransomware, enquanto 42 foram devido a phishing.
O Escritório acrescentou que 24 violações de dados afetaram pelo menos 5.000 australianos, incluindo quatro que afetaram pelo menos 100.000 australianos. Com exceção de um caso relatado, todas essas violações de dados foram causadas por incidentes de segurança cibernética.
A comissária australiana de informações e comissária de privacidade, Angelene Falk, disse: “As recentes violações de dados chamaram a atenção para a importância das organizações protegerem as informações pessoais que lhes são confiadas e o alto nível de preocupação da comunidade sobre a proteção de suas informações e se elas precisam ser coletadas. e retido em primeiro lugar. Exorto todas as organizações a revisar suas práticas de manipulação de informações pessoais… Colete apenas as informações pessoais necessárias e exclua-as quando não forem mais necessárias.”
O relatório da OAIC também constatou que 71% das entidades notificaram o Escritório em até 30 dias após tomar conhecimento de um incidente, em comparação com 75% no período anterior.
Falk disse: “Como o risco de danos graves a indivíduos geralmente aumenta com o tempo, as organizações que suspeitam ter sofrido uma violação de dados elegível devem tratar 30 dias como um limite de tempo máximo para uma avaliação e ter como objetivo concluir a avaliação e notificar os indivíduos em uma prazo muito menor.”
COBERTURA RELACIONADA
.
