Hacker divulga dados de clientes de seguradora de saúde australiana

Dados de clientes da maior seguradora de saúde da Austrália foram divulgados por um extorsionário, incluindo detalhes de diagnósticos de HIV e tratamentos de abuso de drogas, depois que a empresa se recusou a pagar um resgate pelos registros pessoais de quase 10 milhões de clientes atuais e antigos.

O Medibank disse que o material divulgado na dark web parecia ser uma amostra dos dados que revelou terem sido roubados no mês passado.

A empresa espera que o ladrão continue divulgando dados.

Reiterando um pedido de desculpas anterior aos clientes, o CEO do Medibank, David Koczkar, disse: “Este é um ato criminoso projetado para prejudicar nossos clientes e causar angústia.

“Levamos a sério nossa responsabilidade de proteger nossos clientes e estamos prontos para apoiá-los.”

Os dados incluíam o que o ladrão chamou de “lista malcriada” de mais de 100 nomes. Entre eles estavam pacientes que contraíram o HIV e outros que foram tratados por vícios de drogas e álcool e por problemas de saúde mental.

Um dos clientes expostos contatados pela televisão Nine News respondeu com raiva em relação ao Medibank.

Se você é um cliente Medibank ou AHM, é importante estar mais atento. Aqui está o que fazer se você for afetado 👇👇👇 pic.twitter.com/TBy5kNnEUc

— Clare O’Neil MP (@ClareONeilMP) 9 de novembro de 2022

“Deixar os clientes descobrir que suas informações mais confidenciais imagináveis ​​foram publicadas e ouvi-las no noticiário, a resposta do Medibank foi patética”, disse o homem não identificado, cuja imagem não foi divulgada, à Nine.

A ministra australiana de segurança cibernética, Clare O’Neil, que é cliente do Medibank e teve dados pessoais roubados, pediu às empresas de mídia social e tradicional que evitem que suas plataformas sejam usadas para compartilhar os históricos médicos roubados das pessoas.

“Se você fizer isso, estará ajudando e incentivando os canalhas que estão no centro desses atos criminosos e eu sei que você não faria isso com seu próprio país e seus próprios cidadãos”, disse O’Neil ao parlamento.

Ela disse que o número de pessoas cujas informações médicas foram divulgadas foi “pequeno neste estágio”.

Atualização de crimes cibernéticos: estamos cientes de que o criminoso divulgou arquivos em um fórum da dark web contendo dados de clientes que se acredita terem sido roubados de nossos sistemas. Este é um ato criminoso projetado para prejudicar nossos clientes e causar sofrimento.

— Medibank (@medibank) 9 de novembro de 2022

“Mas quero que o povo australiano entenda que isso provavelmente mudará, e estamos passando por um período difícil agora que pode durar semanas, possivelmente meses, não dias e horas”, acrescentou O’Neil.

O primeiro-ministro Anthony Albanese, que também é cliente do Medibank, saudou a recusa da empresa em pagar ao hacker para que os registros fossem devolvidos.

“Isso é muito difícil para as pessoas. Também sou cliente do Medibank Private e será preocupante que algumas dessas informações tenham sido divulgadas”, disse Albanese a repórteres, referindo-se a uma marca Medibank.

“A empresa tem seguido com eficácia as diretrizes, o conselho, que é não se envolver em pagamento de resgate. Se você seguir esse caminho, acabará com mais dificuldades potencialmente em uma faixa mais ampla”.

Os ladrões teriam ameaçado expor os diagnósticos e tratamentos de clientes de alto perfil, a menos que um resgate de uma quantia não revelada fosse pago, mas o Medibank decidiu que havia “apenas um
chance” de que um pagamento impeça a publicação dos dados.

Um blogueiro usando o nome “Extortion Gang” postou na noite de segunda-feira na dark web que “os dados serão publicados em 24 horas”.

Medibank esta semana atualizou sua estimativa do número de pessoas cujas informações pessoais foram roubadas de quatro milhões há duas semanas para 9,7 milhões.

Os dados roubados incluem alegações de saúde de quase 500.000 pessoas, incluindo diagnósticos e tratamentos, disse a empresa.

O roubo dos registros pessoais de 9,8 milhões de clientes da Optus, a segunda maior operadora de telecomunicações sem fio da Austrália, descoberto em 21 de setembro, levou o governo australiano a prometer penalidades mais pesadas para empresas que não protegerem dados privados.

A Câmara dos Representantes do país aprovou um projeto de lei urgente que aumentaria as penalidades por violações graves da Lei de Privacidade de 2,2 milhões de dólares australianos (1,2 milhão de libras) para 50 milhões de dólares australianos (43 milhões de libras) ou mais.

O governo espera que o projeto de lei seja aprovado pelo Senado e se torne lei este mês.