Medibank đã xác nhận rằng bọn tội phạm chịu trách nhiệm đánh cắp dữ liệu khách hàng đã tiết lộ một số thông tin đó trên một diễn đàn web đen.
Công ty cho biết thông tin được đăng tải qua đêm dường như là một mẫu dữ liệu mà trước đó họ xác định là đã bị hacker truy cập.
Bản phát hành bao gồm tên, địa chỉ, ngày tháng năm sinh, số điện thoại, địa chỉ email, số Medicare dành cho khách hàng của thương hiệu ngân sách Medibank ahm (nhưng không có ngày hết hạn), trong một số trường hợp, số hộ chiếu dành cho khách hàng là sinh viên quốc tế (nhưng không phải ngày hết hạn), và một số dữ liệu yêu cầu về sức khỏe.
Công ty cũng cảnh báo rằng: “Chúng tôi mong đợi tội phạm tiếp tục tung ra các tệp trên dark web”.
Cảnh sát Liên bang Úc (AFP) cho biết các sĩ quan đã tăng cường các nỗ lực giám sát thông qua Operation Guardian để cố gắng bảo vệ các khách hàng của Medibank có dữ liệu bị tiết lộ.
Ủy viên Trợ lý Bộ chỉ huy Không gian mạng AFP, Justine Gough cho biết các sĩ quan trong nhóm của cô đang lùng sục trên internet, web tối và sâu để bán hoặc phân phối dữ liệu bị rò rỉ từ các khách hàng của Medibank hoặc Optus.
“Đối với những khách hàng bị ảnh hưởng bởi vụ vi phạm mới nhất này, vui lòng liên hệ với cảnh sát thông qua ReportCyber nếu một người nào đó liên hệ với bạn trực tuyến, qua điện thoại hoặc qua SMS đe dọa tiết lộ dữ liệu của bạn trừ khi thanh toán được thực hiện”
“Tống tiền là một hành vi phạm tội và những người lạm dụng thông tin cá nhân bị đánh cắp để thu lợi tài chính sẽ phải đối mặt với hình phạt lên đến 10 năm tù.”
Bà Gough cũng cảnh báo rằng chỉ cần tải xuống hoặc truy cập dữ liệu bị đánh cắp có thể là hành vi phạm tội, ngay cả khi dữ liệu không được sử dụng cho các mục đích phạm tội khác.
“Với tư cách là một cấp số nhân lực lượng, chúng tôi sử dụng quyền hạn và quyền hạn của tất cả các cơ quan của chúng tôi để phá vỡ việc bán và phân phối dữ liệu thu được một cách bất hợp pháp,”
Dữ liệu khách hàng của Medibank đã được công bố vào đầu giờ sáng nay, sau khi thời hạn nửa đêm được thông qua để công ty bảo hiểm sức khỏe lớn nhất Australia trả tiền chuộc.
Hàng trăm tên, địa chỉ, ngày sinh và thông tin chi tiết về Medicare được cho là đã được đăng dưới “danh sách tốt” và “danh sách nghịch ngợm” trên một blog thuộc nhóm hack.
Các tin tặc đã yêu cầu một khoản tiền chuộc để ngăn chặn việc phát hành dữ liệu, nhưng Medibank vào đầu tuần này cho biết họ sẽ không trả tiền vì nó sẽ khuyến khích tội phạm thêm.
“Nhìn lại rằng dữ liệu được lưu trữ ở định dạng không dễ hiểu (bảng kết xuất), chúng tôi sẽ mất một khoảng thời gian để sắp xếp nó”, các tin tặc cho biết vào đầu giờ ngày thứ Tư.
“Chúng tôi sẽ tiếp tục đăng dữ liệu một phần, cần một thời gian để làm điều đó khá tốt.”
Các tin tặc cũng có vẻ đã tiết lộ ảnh chụp màn hình của các tin nhắn riêng tư được trao đổi gần đây giữa chúng và đại diện của Medibank.
Medibank trước đó đã xác nhận gần 500.000 thông báo về sức khỏe đã bị đánh cắp, cùng với thông tin cá nhân, khi nhóm giấu tên tấn công vào hệ thống của họ vài tuần trước.
Khoảng 9,7 triệu khách hàng hiện tại và trước đây đã bị ảnh hưởng.
Medibank đã nhiều lần cho biết không có thẻ tín dụng hoặc chi tiết ngân hàng nào được truy cập.
Vào sáng thứ Tư, giám đốc điều hành của Medibank, David Koczkar, một lần nữa xin lỗi khách hàng của công ty vì đã vi phạm thông tin cá nhân và riêng tư.
“Chúng tôi thành thật xin lỗi khách hàng”, ông nói trong tuyên bố xác nhận rằng dữ liệu bị tấn công đã được công bố.
“Đây là một hành động tội phạm được thiết kế để gây hại cho khách hàng của chúng tôi và gây ra tình trạng đau khổ.”
“Chúng tôi thực hiện nghiêm túc trách nhiệm bảo vệ khách hàng của mình và chúng tôi sẵn sàng hỗ trợ họ.”
Medibank một lần nữa khuyến cáo khách hàng nên cảnh giác trước mọi âm mưu lừa đảo qua điện thoại, bưu điện hoặc email và báo cáo chúng ngay lập tức với trang web của Trung tâm An ninh mạng Úc hoặc qua ScamWatch.
Công ty cũng đã hướng dẫn các khách hàng liên quan đến các trung tâm liên lạc của mình: 13 23 31 dành cho Medibank và khách hàng quốc tế; 13 42 46 cho khách hàng ahm; và 1800 081 245 cho bệnh nhân My Home Hospital.
Bộ trưởng Bộ Nội vụ Clare O’Neil cho biết quyết định của Medibank không trả tiền chuộc cho tội phạm mạng là “phù hợp với lời khuyên của chính phủ”.