Công ty bảo hiểm y tế tư nhân lớn nhất của Úc – Medibank Private phải đối mặt với vụ kiện tập thể đầu tiên về vụ hacker làm lộ thông tin cá nhân của 9,7 triệu khách hàng hiện tại và trước đây.
Nó xảy ra khi các mối đe dọa đã xuất hiện trên các web đen công bố dữ liệu khách hàng.
Bannister Law Class Actions và Centennial Lawyers cho biết họ đã hợp lực để điều tra vụ vi phạm dữ liệu nghiêm trọng của nhóm này bao gồm 5,1 triệu khách hàng của Medibank, khoảng 2,8 triệu khách hàng từ doanh nghiệp ahm ngân sách của tập đoàn và khoảng 1,8 triệu khách hàng quốc tế.
“Chúng tôi tin rằng vi phạm dữ liệu là sự phản bội khách hàng của Medibank Private và vi phạm Đạo luật về quyền riêng tư. Medibank có nhiệm vụ giữ bí mật loại thông tin này, ”Bannister cho biết trong một tuyên bố vào sáng thứ Ba.
“Hai công ty sẽ điều tra việc Medibank vi phạm chính sách bảo mật của họ và các điều khoản trong hợp đồng bảo hiểm y tế mà họ đã cung cấp cho khách hàng. Các luật sư cũng sẽ đánh giá xem liệu có nên bồi thường thiệt hại cho khách hàng của Medibank do hành vi vi phạm của họ hay không ”.
Các hành động tập thể khác có thể xảy ra. Maurice Blackburn, công ty đã đưa ra khiếu nại theo kiểu hành động tập thể chống lại Optus vì vi phạm dữ liệu gần đây của mình, trước đây đã nói rằng họ đang “theo dõi” tình hình.
Mặc dù cả hai vụ hack đều có quy mô tương tự, với chỉ dưới 10 triệu khách hàng của Optus bị ảnh hưởng, sự cố của Medibank còn nghiêm trọng hơn nhiều khi dữ liệu sức khỏe cá nhân của hàng trăm nghìn khách hàng của Medibank bị đánh cắp.
Các mối đe dọa để lộ dữ liệu Medibank đã xuất hiện khi Nine News báo cáo rằng một bài đăng trên một diễn đàn web đen đã đe dọa tiết lộ dữ liệu.
Tin tặc bị cáo buộc cho biết: “Dữ liệu sẽ được công bố sau 24 giờ. P.S Tôi khuyên bạn nên bán cổ phiếu của Medibank ”.
Không có bằng chứng nào cho thấy đây là hacker thực sự.
Hôm thứ Hai, Medibank cho biết họ sẽ không trả khoản tiền chuộc mà tin tặc yêu cầu sau khi nhận được lời khuyên từ các chuyên gia an ninh mạng.
“Tất cả những lời khuyên là trả tiền không đảm bảo rằng dữ liệu sẽ được trả lại. Nó làm tăng đáng kể khả năng mọi người bị bóc lột và nhiều người Úc gặp rủi ro hơn, ”Giám đốc điều hành Medibank, David Koczkar, cho biết.
Bộ trưởng An ninh mạng Clare O’Neil hoan nghênh quyết định này.
Koczkar cho biết nhóm không biết về bất kỳ trường hợp nào mà vụ hack có liên quan đến tội phạm mạng nhằm vào khách hàng, nhưng họ đang chuẩn bị cho khả năng việc khai thác này có thể bắt đầu bằng việc từ chối thanh toán.
Điều này có thể xảy ra thông qua việc xuất bản dữ liệu khách hàng trực tuyến hoặc cố gắng liên hệ trực tiếp với khách hàng.
“Tôi khuyến khích bất kỳ khách hàng nào thực sự có dữ liệu của họ bị xâm phạm – bởi vì chúng tôi không có bằng chứng về việc dữ liệu đó bị phát tán ra bên ngoài – thì vui lòng liên hệ với chúng tôi. Hoặc, với chính phủ thông qua Report Cyber, ”ông nói.
Medibank đã nhắc lại rằng không có chi tiết thẻ tín dụng nào bị đánh cắp.
Hôm thứ Hai, Medibank cũng thông báo họ sẽ thực hiện một cuộc đánh giá bên ngoài với nhiều thông tin chi tiết sẽ được công bố trong thời gian tới. Nó cho biết chi tiết sẽ được công khai nếu thích hợp.