La société australienne d’assurance maladie Medibank a révélé mercredi que les informations personnelles de tous ses clients avaient été consultées sans autorisation à la suite d’une récente attaque de ransomware.
Dans une mise à jour de son enquête en cours sur l’incident, la firme a dit les attaquants avaient accès à « des quantités importantes de données sur les allégations de santé » ainsi qu’à des données personnelles appartenant à ses ahm filiale d’assurance maladie et étudiants internationaux.
Medibank, qui est l’un des plus grands fournisseurs australiens d’assurance maladie privée, sert environ 3,9 millions de clients à travers le pays.
« Nous avons des preuves que le criminel a supprimé certaines de ces données et il est maintenant probable que le criminel ait volé d’autres données personnelles et médicales », a ajouté la société. « En conséquence, nous prévoyons que le nombre de clients concernés pourrait augmenter considérablement. »
La société a également déclaré qu’elle poursuivait son enquête pour déterminer quelles données spécifiques avaient été volées lors de l’attaque et qu’elle en informerait directement les clients concernés.
Le développement intervient alors que l’incident fait l’objet d’une enquête de la police fédérale australienne (AFP), avec Medibank reconnaissant qu’il a été contacté par un acteur criminel prétendant avoir siphonné 200 Go de données.
« Ces données comprennent les prénoms et les noms, les adresses, les dates de naissance, les numéros d’assurance-maladie, les numéros de police, les numéros de téléphone et certaines données sur les réclamations », a-t-il noté. « Ces données de réclamation incluent l’endroit où un client a reçu des services médicaux et les codes relatifs à son diagnostic et à ses procédures. »
D’autres informations personnelles identifiables de manière unique, telles que les numéros de passeport concernant les politiques relatives aux étudiants internationaux, ont également été consultées, mais Medibank a souligné qu’elle n’avait trouvé aucune preuve que les détails de prélèvement automatique avaient été violés.
Dans un espace séparé annonce aux investisseurs, Medibank a déclaré avoir renforcé ses capacités de surveillance pour empêcher de telles attaques à l’avenir. Il a également estimé que l’événement de cybercriminalité lui coûterait entre 25 et 35 millions de dollars australiens.
Il a été recommandé aux clients de Medibank de rester vigilants pour tout escroqueries par hameçonnage ou smishingl’entreprise s’engageant à fournir gratuitement des services de surveillance d’identité et un soutien financier à ceux « qui se trouvent dans une position particulièrement vulnérable à la suite de ce crime ».
Le piratage de Medibank fait suite à une autre cyberattaque visant le géant australien des télécommunications Optus, qui abouti dans le vol de près de 2,1 millions de ses clients actuels et anciens.
Les violations de données très médiatisées et préjudiciables ont incité le gouvernement australien à introduire des lois strictes sur la protection des données, qui incluent des sanctions pécuniaires accrues pouvant aller jusqu’à 50 millions de dollars australiens par rapport au plafond actuel de 2,2 millions de dollars australiens.
Le nouveau projet de loi de 2022 portant modification de la législation sur la protection de la vie privée vise également à confier au commissaire australien à l’information davantage de pouvoirs pour résoudre les atteintes à la vie privée.
« Des violations importantes de la vie privée au cours des dernières semaines ont montré que les garanties existantes sont insuffisantes », a déclaré le procureur général Mark Dreyfus. a dit. « Nous avons besoin de meilleures lois pour réglementer la façon dont les entreprises gèrent l’énorme quantité de données qu’elles collectent, et de sanctions plus lourdes pour inciter à un meilleur comportement. »
