Hacker retiene los datos de la aseguradora de salud australiana para pedir rescate
Un ciberdelincuente retuvo como rescate los datos de clientes de una aseguradora de salud australiana, incluidos diagnósticos y tratamientos, en la segunda mayor violación de privacidad del país en un mes, dijeron funcionarios el jueves.
El comercio de acciones de Medibank se detuvo en la Bolsa de Valores de Australia desde el miércoles, cuando se alertó a la policía de que la compañía había sido contactada por lo que describió como un «criminal» que quería negociar sobre los datos personales robados de los clientes.
Medibank, que tiene 3,7 millones de clientes, dijo el jueves que el delincuente había proporcionado una muestra de 100 pólizas de clientes de un supuesto botín de 200 gigabytes de datos robados.
Los detalles incluían nombres de clientes, direcciones, fechas de nacimiento, números de identificación nacional de atención médica y números de teléfono.
La ministra de ciberseguridad, Clare O’Neil, dijo que lo más preocupante era que también se habían robado registros de diagnósticos y procedimientos médicos.
“El crimen financiero es algo terrible. Pero en última instancia, una tarjeta de crédito puede ser reemplazada”, dijo O’Neil a los periodistas.
“La amenaza que se está haciendo aquí para hacer que la información de salud privada y personal de los australianos esté disponible para el público es un acto de perro”, agregó.
El ladrón había amenazado con vender datos de Medibank a terceros y seleccionó registros de 1,000 políticos, personalidades de los medios, actores, activistas LGBTQ y drogadictos para exponerlos, informó Nine Network News.
“Encontramos personas con diagnósticos muy interesantes”, supuestamente escribió el ladrón a Medibank.
Medibank se negó a comentar sobre las amenazas informadas y no dio a conocer detalles más allá de su declaración a la Bolsa de Valores de Australia.
La brecha de Medibank se produjo un mes después de que un ciberataque le robara a la empresa de telecomunicaciones Optus los datos personales de 9,8 millones de clientes.
La violación de Optus, que comprometió los datos personales de más de un tercio de la población de Australia, llevó al gobierno a proponer reformas urgentes a las leyes de privacidad que aumentarían las sanciones para las empresas que no protegen los datos de los clientes y limitan la cantidad de datos que pueden ser retenido.
O’Neil dijo que el delito cibernético era un problema creciente en todo el mundo y que Australia necesitaba estar mejor preparada.
“Vamos a estar bajo un ataque cibernético implacable esencialmente de ahora en adelante, y lo que significa es que debemos hacerlo mucho mejor como país para asegurarnos de que estamos haciendo todo lo posible dentro de las organizaciones para proteger los datos de los clientes y también para ciudadanos hagan todo lo que puedan”, dijo O’Neil.
«Combinado con Optus, esta es una gran llamada de atención para el país y ciertamente le da al gobierno un mandato muy claro para hacer algunas cosas que, francamente, probablemente deberían haberse hecho hace cinco años, pero creo que siguen siendo de vital importancia». agregó, refiriéndose a las reformas a la ley de privacidad que el gobierno espera aprobar en el Parlamento este año.
O’Neil describió la violación de Medibank como un «ataque de ransomware», que el gobierno define como un ataque con malware que bloquea o encripta archivos para que el propietario ya no pueda acceder a ellos.
La oficina de O’Neil dijo más tarde que ella se equivocó y quiso decir que el culpable había exigido un rescate.
Medibank dijo que sus sistemas no habían sido encriptados por ransomware y que sus actividades habituales con los clientes continuaron.
El presidente ejecutivo de Medibank, David Koczkar, dijo que su compañía estaba trabajando con firmas especializadas en ciberseguridad, así como con expertos policiales y gubernamentales en respuesta a la violación.
“Me disculpo sin reservas por este crimen perpetrado contra nuestros clientes, nuestra gente y la comunidad en general”, dijo Koczkar en un comunicado.
“Sé que muchos estarán decepcionados con Medibank y reconozco esa decepción”, agregó.