تم نشر البيانات المسروقة من شركة التأمين الصحي الأسترالية ، بما في ذلك أسماء وعناوين وتواريخ ميلاد مئات العملاء ، في منتدى على ما يسمى الويب المظلم.
وقال Medibank في بيان يوم الأربعاء إن الملفات تبدو على أنها عينة من البيانات التي تم الوصول إليها. تتوقع الشركة إصدار المزيد من البيانات ، بعد أن قالت في وقت سابق من هذا الأسبوع إن المتسللين كشفوا معلومات حول 9.7 مليون شخص.
يأتي الإفراج عن المعلومات الشخصية بعد تسرب واسع للبيانات في وحدة Optus في سنغافورة للاتصالات في سبتمبر ، والذي كشف تفاصيل ما يصل إلى 10 ملايين عميل. أثارت الاختراقات الحديثة الأخرى لمزود خدمات علم الأمراض Australian Clinical Labs و MyDeal التابعة لشركة Woolworths مخاوف من أن الشركات الأسترالية لا تفعل ما يكفي لحماية بيانات العملاء.
حذر المتسللون في وقت مبكر من يوم الثلاثاء من أنهم سيصدرون البيانات في غضون 24 ساعة ، بعد يوم من إعلان الشركة التي تتخذ من ملبورن مقراً لها أنها لن تدفع فدية لأن ذلك سيشجع فقط على ارتكاب المزيد من الجرائم. احتوت البيانات المسربة على تفاصيل حوالي 100 عميل بما في ذلك علاجاتهم من إدمان القنب وتعاطي الكحول والقلق وتعاطي المخدرات ، حسبما ذكرت المجلة المالية الأسترالية.
قد يكلف اختراق بيانات Medibank الشركة أكثر من 129 مليون دولار (حوالي 1050 كرور روبية) ، وفقًا لمحللي Bloomberg Intelligence Matt Ingram و Jack Baxter. قال المحللون إن شركة التأمين الصحي ، التي قامت بالفعل بتأخير زيادات الأقساط للعملاء المتأثرين ، قد تواجه تعويضًا قدره 500 دولار أسترالي (حوالي 26300 روبية) إلى 20000 دولار أسترالي (حوالي 1052.300 روبية) لحاملي وثائق التأمين المتأثرين.
ارتفعت أسهم Medibank بنسبة 0.7 في المئة في التعاملات بعد الظهر في سيدني يوم الأربعاء. انخفض السهم بحوالي 20 في المائة منذ اكتشاف الاختراق لأول مرة قبل أقل من شهر بقليل ، مما أدى إلى مسح حوالي 2 مليار دولار أسترالي (حوالي 10500 كرور روبية) من القيمة السوقية للشركة.
قال جوش ليمون ، الذي يدرس الأمن السيبراني في معهد SANS ، إن الكشف عن الدفعة الأولى من المعلومات والتهديدات لنشر المزيد يمكن أن يكون مصممًا للضغط على Medibank لدفع الفدية.
قال ليمون: “لسوء الحظ ، لا يضمن دفع الفدية دائمًا عدم الإفراج عن البيانات أو إعادة بيعها لمجرمي الإنترنت الآخرين”. “لا أعتقد أن دفع الفدية في هذه المرحلة سيفعل أكثر بكثير من تأخير سرعة إصدار البيانات.”
وقالت وزيرة الشؤون الداخلية كلير أونيل إن قرار Medibank عدم دفع فدية لمجرمي الإنترنت يتماشى مع نصيحة الحكومة.
قال أونيل: “الدفع لهم فقط يغذي نموذج أعمال الفدية”. “إنهم يلتزمون باتخاذ إجراءات مقابل الدفع ، ولكن في كثير من الأحيان يعيدون إيذاء الشركات والأفراد.”
قال تروي هانت ، الذي يدير موقعًا لتتبع الاختراقات ، haveibeenpwned ، “لا ينبغي أن يفكر Medibank تحت أي ظرف من الظروف في دفع الفدية”. “كان موقفهم من هذا هو الموقف الصحيح ويعكس موقف الحكومة من الجرائم الإلكترونية والفدية”.
قال جوستين جوف ، مساعد المفوض ، الأربعاء ، إن عملية Guardian التابعة للشرطة الفيدرالية الأسترالية ، والتي تم إنشاؤها في البداية لحماية ضحايا اختراق بيانات Optus ، سيتم توسيعها لتشمل ضحايا اختراق Medibank.
أصدرت الحكومة يوم الأربعاء أيضًا تشريعات تزيد العقوبة على الانتهاكات المتكررة أو الخطيرة للخصوصية إلى ما لا يقل عن 50 مليون دولار أسترالي (حوالي 260 كرور روبية).
“أظهرت انتهاكات الخصوصية الجسيمة في الأسابيع الأخيرة أن الضمانات الحالية عفا عليها الزمن وغير كافية. قال المدعي العام مارك دريفوس في بيان: “يوضح مشروع القانون هذا للشركات أن عقوبة انتهاك البيانات الكبير لم يعد من الممكن اعتبارها تكلفة ممارسة الأعمال التجارية”.
© بلومبرج إل بي 2022
