Avustralya sağlık sigortası şirketi Medibank Çarşamba günü yaptığı açıklamada, son bir fidye yazılımı saldırısının ardından tüm müşterilerinin kişisel bilgilerine yetkisiz erişildiğini açıkladı.
Olayla ilgili devam eden soruşturmasında yapılan bir güncellemede firma, saldırganların “önemli miktarda sağlık iddiası verisine” ve ayrıca ahm sağlık sigortası yan kuruluşu ve uluslararası öğrencilere ait kişisel verilere erişimi olduğunu söyledi.
Avustralya’nın en büyük özel sağlık sigortası sağlayıcılarından biri olan Medibank, ülke genelinde yaklaşık 3,9 milyon müşteriye hizmet veriyor.
Şirket ayrıca, “Suçlunun bu verilerin bir kısmını kaldırdığına dair kanıtlarımız var ve şimdi suçlunun daha fazla kişisel ve sağlık iddiası verilerini çalmış olması muhtemel” dedi. “Sonuç olarak, etkilenen müşterilerin sayısının önemli ölçüde artmasını bekliyoruz.”
Şirket ayrıca, saldırıda hangi belirli verilerin çalındığını belirlemek için araştırmasına devam ettiğini ve etkilenen müşterileri konuyla ilgili doğrudan bilgilendireceğini söyledi.
Gelişme, olayın Avustralya Federal Polisi (AFP) tarafından bir soruşturmanın konusu haline gelmesiyle ortaya çıktı ve Medibank, 200 GB veriyi sifonladığını iddia eden bir suç aktörü tarafından kendisiyle temasa geçildiğini kabul etti.
“Bu veriler adları ve soyadları, adresleri, doğum tarihlerini, Medicare numaralarını, poliçe numaralarını, telefon numaralarını ve bazı talep verilerini içerir” dedi. “Bu talep verileri, bir müşterinin tıbbi hizmet aldığı yeri ve teşhis ve prosedürleriyle ilgili kodları içerir.”
Uluslararası öğrenci politikalarına ilişkin pasaport numaraları gibi benzersiz olarak tanımlanabilir diğer kişisel bilgilere de erişildi, ancak Medibank, otomatik ödeme ayrıntılarının ihlal edildiğine dair hiçbir kanıt bulamadığını vurguladı.
Ayrı bir yatırımcı duyurusunda Medibank, gelecekte bu tür saldırıları önlemek için izleme yeteneklerini güçlendirdiğini söyledi. Ayrıca siber suç olayının maliyetinin 25 milyon AU$ ile 35 milyon AU$ arasında olduğunu tahmin ediyor.
Medibank müşterilerinin herhangi bir kimlik avı veya smishing dolandırıcılığına karşı dikkatli olmaları tavsiye edilirken, şirket “bu suçun sonucu olarak benzersiz bir şekilde savunmasız durumda olan” kişilere ücretsiz kimlik izleme hizmetleri ve finansal destek sözü verdi.
Medibank saldırısı, Avustralyalı telekom devi Optus’u hedef alan ve mevcut ve eski müşterilerinin yaklaşık 2,1 milyonunun çalınmasıyla sonuçlanan başka bir siber saldırıyı takip ediyor.
Yüksek profilli ve zarar verici veri ihlalleri, Avustralya hükümetini, mevcut 2,2 milyon AU$’lık sınırdan 50 milyon AU$’a kadar artan para cezaları da dahil olmak üzere, katı veri koruma yasaları uygulamaya sevk etti.
Yeni Gizlilik Mevzuatı Değişikliği Bill 2022 ayrıca Avustralya Bilgi Komiseri’ne gizlilik ihlallerini çözme konusunda daha fazla yetki vermeyi amaçlıyor.
Başsavcı Mark Dreyfus, “Son haftalardaki önemli gizlilik ihlalleri, mevcut korumaların yetersiz olduğunu gösterdi.” Dedi. Şirketlerin topladıkları büyük miktarda veriyi nasıl yönettiklerini düzenlemek için daha iyi yasalara ve daha iyi davranışları teşvik etmek için daha büyük cezalara ihtiyacımız var.”