Medibank a confirmé jeudi que les acteurs de la menace derrière la cyberattaque dévastatrice ont publié un autre vidage de données volées de ses systèmes sur le dark web après son refus de payer une rançon.
« Nous sommes en train d’analyser les données, mais les données publiées semblent être les données que nous pensions que le criminel avait volées », a déclaré l’assureur maladie australien. a dit.
« Bien que notre enquête se poursuive, il n’y a actuellement aucun signe indiquant que des données financières ou bancaires ont été prises. Et les données personnelles volées, en elles-mêmes, ne sont pas suffisantes pour permettre une fraude d’identité et financière. Les données brutes que nous avons analysées jusqu’à présent sont incomplètes et difficile à comprendre. »
La fuite survient près d’un mois après que l’entreprise a reconnu que les données personnelles appartenant à environ 9,7 millions de ses clients actuels et anciens ont été consultées à la suite d’un incident de ransomware en octobre 2022.
Cela comprend 5,1 millions de clients Medibank, 2,8 millions de clients ahm et 1,8 million de clients internationaux. Les réclamations de santé d’environ 160 000 clients de Medibank, 300 000 clients ahm et 20 000 clients internationaux ont également été consultées.
Le dernier ensemble de données, qui a été téléchargé sous la forme de six fichiers d’archive ZIP, comprend des informations sur les allégations de santé, bien que Medibank ait noté qu’une grande partie des données est fragmentée et qu’elle n’est pas combinée avec les noms et les coordonnées des clients.
Les auteurs de l’attaque sont soupçonnés d’être situés en Russie et liés au groupe de rançongiciels REvil, qui a organisé un retour au début du mois de mai.
Le développement coïncide également avec le Bureau de la Commission australienne de l’information (OAIC) annonçant une enquête sur les pratiques de traitement des données de Medibank en relation avec l’incident de sécurité.
Une enquête similaire est déjà en cours avec le géant des télécoms Optus, qui a subi une brèche fin septembre 2022, pour déterminer si l’entreprise « a pris des mesures raisonnables pour protéger les informations personnelles qu’elle détient contre toute utilisation abusive, interférence, perte, accès non autorisé, modification ou divulgation ».
Les méga-violations ont également incité le gouvernement australien à adopter une nouvelle législation qui peut exposer les entreprises à des amendes allant jusqu’à 50 millions de dollars australiens pour des violations de données répétées ou graves.