.
A violação de dados da seguradora de saúde australiana Medibank revelou-se hoje ainda pior do que se pensava, com um registro regulatório afirmando que as informações que descrevem todos os quatro milhões de clientes foram acessadas.
Medibank primeiro admitido a um ataque em 13 de outubro. Na época, a empresa disse que desativou sistemas que executam duas submarcas por precaução, mas que nenhum dado de cliente foi acessado nessas marcas ou no próprio Medibank.
Essa avaliação foi otimista.
Na semana passada, a empresa revelado essa avaliação estava errada e partes desconhecidas entraram em contato com ela para negociar sobre como impedir a liberação dos dados. Cem registros foram revelados pelos ladrões de dados – alguns incluindo informações sobre tratamentos médicos que os clientes fizeram – e esse tesouro foi verificado como proveniente da seguradora.
Em 25 de outubro, a seguradora divulgado [PDF] que os dados de todas as suas marcas foram acessados.
E hoje veio o grande: notícia [PDF] que “dados pessoais e quantidades significativas de dados de alegações de saúde” foram acessados em todas as três marcas.
Isso significa que detalhes dos serviços médicos utilizados pelos segurados foram expostos, além de seus outros dados pessoais.
O Medibank ainda não sabe quantos dados de clientes foram roubados, mas alertou que “agora é provável que o criminoso tenha roubado mais dados pessoais e de saúde” além dos 1.000 registros que o criminoso vazou como parte de sua tentativa de extrair pagamento do Medibank.
A atualização de quarta-feira da seguradora também revela que não possui seguro cibernético e espera que o incidente crie custos entre AU$ 25 milhões e AU$ 35 milhões ($ 16 milhões a $ 22,4 milhões) no próximo semestre.
Grandes multas e descontentamento regulatório também aguardam a empresa.
Foi sugerido com credibilidade que as credenciais da equipe foram usadas para acessar os sistemas da seguradora. Talvez os invasores de creds acessados pertencessem a um superusuário, mas o Medibank ainda não explicou como o acesso a contas de usuários levou à exfiltração de dados de clientes.
O incidente está em andamento, com autoridades australianas investigando, políticos pontificando e clientes do Medibank presumivelmente muito ansiosos para que a seguradora conclua sua investigação sobre quais dados foram acessados e/ou perdidos, e para aproveitar os serviços prometidos para evitar fraudes de identidade e cobrir o custo de substituição de documentos de identificação.
Enquanto isso, a vítima da outra recente violação de dados de alto perfil da Austrália – a telco Optus, de Cingapura – publicou um carta aos clientes [PDF] que essencialmente se absolve de culpa e diz que lidou com o incidente de forma exemplar. Então isso resolve isso.
“Estamos comprometidos em aprender, fazer melhor no futuro e compartilhar lições para que todas as empresas e todos os australianos possam se beneficiar de nossa terrível experiência”, afirma a carta. ®
.
