[ad_1]
Medibank 已确认在最近的一次安全漏洞中泄露了更多客户详细信息,这些信息已出现在一个暗网论坛上,将非法销售描述为一种耻辱。 这家澳大利亚健康保险公司拒绝为数据支付任何赎金,并指出专家建议和政府指导方针。
Medibank 首席执行官 David Koczkar 在周四的一份声明中说:“为了敲诈勒索而将人们的私人信息武器化是恶意的,是对我们社区中最脆弱的成员的攻击。” “在暗网上发布这些被盗数据是可耻的。”
该公司敦促公众不要下载数据,黑客上周威胁要开始在论坛上发布这些数据。 有报道称,赎金要求超过 1000 万美元,即每个被盗客户账户需要 1 美元。
上个月首次宣布,安全漏洞泄露了 970 万当前和以前的客户以及他们的一些授权代表的个人数据。 受影响的包括 180 万国际客户。
根据 Medibank 的说法,黑客没有访问主要身份文件,例如本地客户的驾驶执照,或信用卡和银行信息。 但是,他们能够访问诸如姓名、出生日期、地址、电话号码和电子邮件地址等数据。 480,000 名客户的健康索赔数据也被泄露,包括他们接受医疗服务的地点以及与诊断和管理程序相关的代码。
Medibank周三确定这些文件已经出现在论坛上,并且似乎是泄露的数据样本,其中包括一些国际学生客户的护照号码。 该保险公司表示,预计将发布更多批次,并将告知客户其数据已在论坛上弹出。
Koczkar 表示,该公司没有计划向数据盗窃背后的黑客支付任何赎金。
他周一在给《澳大利亚人报》的一份声明中说:“根据我们从网络犯罪专家那里得到的广泛建议,我们认为支付赎金将确保我们客户的数据归还并防止其被发布的可能性有限。”股票交易。 “付款可能会产生相反的效果,并鼓励犯罪分子直接敲诈我们的客户,而且付款很有可能使澳大利亚成为更大的目标,从而使更多人受到伤害。”
“正是出于这些原因,我们决定不为这次活动支付赎金,”他说。 “这一决定与澳大利亚政府的立场是一致的。”
Medibank 表示,它正在通过其网络响应支持计划为受违规影响的客户提供支持,其中包括身份保护、财务措施和心理健康支持。
它补充说,它加强了对其网络的现有监控,在其系统中增加了检测、分析和取证功能。 它指出,法律要求从客户离开之日起至少保留一些客户信息七年。
澳大利亚通过法律增加违规处罚
与此同时,澳大利亚提出的增加对违反数据隐私者的经济处罚的立法于周三获得通过。 它将严重或重复违规的最高罚款从目前的 222 万澳元提高到 5,000 万澳元(3,234 万美元),或者是通过数据滥用获得的任何利益价值的三倍,或公司调整后营业额的 30%。相关期间,以较大者为准。
该法案还授权澳大利亚信息专员解决隐私泄露问题并更快地共享有关数据泄露的信息。
周二,一名悉尼男子因试图勒索受 9 月 Optus 数据泄露影响的客户而认罪。
澳大利亚联邦警察助理专员网络司令部贾斯汀·高夫周三表示,它将寻找对网络安全攻击(例如 Medibank 漏洞)负责的黑客,即使他们位于海外。
“我们拥有强大的权力、决心和访问国际执法网络的渠道,以帮助调查这一违规行为,”高夫说。 “这不仅仅是对澳大利亚企业的攻击。全球执法机构都知道这是一种无国界的犯罪类型,需要共享证据和能力。”
“购买被盗数据是违法的,这些数据可能用于金融犯罪,”他说,并敦促受 Medibank 数据泄露影响的客户在黑客试图联系他们索要赎金时向警方报告。 “勒索是一种犯罪行为,那些滥用被盗个人信息谋取经济利益的人将面临最高 10 年的监禁。”
根据澳大利亚信息专员办公室 (OAIC) 的数据,2022 年 1 月至 2022 年 6 月期间报告的数据泄露事件为 396 起,与 2021 年 7 月至 2021 年 12 月相比下降了 14%。
大约 41% 的违规行为或向 OAIC 发出的 162 次通知是网络安全事件的结果。 大多数网络事件(51 起通知)涉及勒索软件,而 42 起是由于网络钓鱼引起的。
该办公室补充说,24 起数据泄露事件影响了至少 5,000 名澳大利亚人,其中 4 起影响了至少 100,000 名澳大利亚人。 除了一个报告的案例外,所有这些数据泄露都是由网络安全事件引起的。
澳大利亚信息专员和隐私专员安吉琳·福尔克(Angelene Falk)表示:“最近的数据泄露事件引起了人们对组织保护其受托个人信息的重要性的关注,以及社区对其信息的保护以及是否需要收集这些信息的高度关注。并首先保留。我敦促所有组织审查其个人信息处理实践……仅收集必要的个人信息,并在不再需要时将其删除。”
OAIC 报告还发现,71% 的实体在得知事件后 30 天内通知了办公室,而上一时期这一比例为 75%。
Falk 说:“由于对个人造成严重伤害的风险通常会随着时间的推移而增加,因此怀疑自己经历过符合条件的数据泄露的组织应将 30 天作为评估的最长时间限制,并旨在完成评估并通知个人更短的时间框架。”
相关报道
[ad_2]
Source link
