Avustralyalı bir sağlık sigortasından çalınan yüzlerce müşterinin adları, adresleri ve doğum tarihleri de dahil olmak üzere veriler, sözde karanlık ağdaki bir forumda yayınlandı.
Medibank Çarşamba günü yaptığı açıklamada, dosyaların erişilen verilerin bir örneği gibi göründüğünü söyledi. Şirket, bu hafta başlarında bilgisayar korsanlarının yaklaşık 9,7 milyon kişinin bilgilerini ifşa ettiğini söylemesinin ardından daha fazla verinin yayınlanmasını bekliyor.
Kişisel bilgilerin açıklanması, Eylül ayında Singapur Telekomünikasyon’un Optus biriminde 10 milyon kadar müşterinin ayrıntılarını açığa çıkaran büyük bir veri sızıntısının ardından geldi. Patoloji hizmetleri sağlayıcısı Australian Clinical Labs ve Woolworths’ün yan kuruluşu MyDeal’e yönelik diğer son saldırılar, Avustralya şirketlerinin müşteri verilerini korumak için yeterince çaba göstermediği endişesini artırdı.
Bilgisayar korsanları Salı günü erken saatlerde, Melbourne merkezli şirketin fidye ödemeyeceğini çünkü bunun sadece daha fazla suçu teşvik edeceğini söyledikten bir gün sonra verileri 24 saat içinde yayınlayacakları konusunda uyardı. Avustralya Mali İncelemesinin bildirdiğine göre, sızdırılan veriler, esrar bağımlılığı, alkol kötüye kullanımı, kaygı ve uyuşturucu kullanımı için tedavileri de dahil olmak üzere yaklaşık 100 müşterinin ayrıntılarını içeriyordu.
Bloomberg Intelligence analistleri Matt Ingram ve Jack Baxter’e göre Medibank’ın veri ihlali şirkete 129 milyon dolardan (kabaca 1.050 rupi) fazlaya mal olabilir. Analistler, etkilenen müşteriler için prim artışlarını zaten geciktiren sağlık sigortası şirketinin, etkilenen poliçe sahipleri için 500 AUD (kabaca 26.300 Rs.) ila 20.000 AUD (kabaca 1.052.300 Rs.) arasında bir tazminatla karşı karşıya kalabileceğini söyledi.
Medibank hisseleri Çarşamba günü Sydney’de öğleden sonra işlemlerinde yüzde 0.7 yükseldi. Hisse, saldırının ilk kez bir aydan kısa bir süre önce tespit edilmesinden bu yana yaklaşık yüzde 20 düştü ve şirketin piyasa değerinden yaklaşık 2 milyar AUD (kabaca 10.500 rupi) silindi.
SANS Enstitüsü’nde siber güvenlik dersi veren Josh Lemon, ilk bilgi yığınının ve daha fazlasını yayınlama tehdidinin Medibank’a fidye ödemesi için baskı yapmak için tasarlanabileceğini söyledi.
Lemon, “Ne yazık ki fidyeyi ödemek, verilerin serbest bırakılmayacağını veya diğer siber suçlulara yeniden satılmayacağını her zaman garanti etmez” dedi. “Bu aşamada fidyeyi ödemenin, verilerin ne kadar hızlı yayınlanabileceğini geciktirmekten çok daha fazlasını yapacağına inanmıyorum.”
İçişleri Bakanı Clare O’Neil, Medibank’ın siber suçlulara fidye ödememe kararının hükümetin tavsiyesi doğrultusunda olduğunu söyledi.
O’Neil, “Onlara ödeme yapmak yalnızca fidye yazılımı iş modelini besler” dedi. “Ödeme karşılığında eylemlerde bulunmayı taahhüt ediyorlar, ancak çoğu zaman şirketleri ve bireyleri yeniden mağdur ediyorlar.”
Haveibeenpwned ihlal izleme web sitesini yöneten Troy Hunt, “Medibank hiçbir koşulda fidye ödemeyi düşünmemeli” dedi. “Bu konudaki tutumları doğruydu ve hükümetin siber suçlar ve fidye konusundaki tutumunu yansıtıyor.”
Komiser Yardımcısı Justine Gough Çarşamba günü yaptığı açıklamada, Avustralya Federal Polisi’nin Optus veri ihlali mağdurlarını korumak için kurulan Guardian operasyonu Medibank hack kurbanlarını kapsayacak şekilde genişletileceğini söyledi.
Hükümet Çarşamba günü ayrıca, tekrarlanan veya ciddi gizlilik ihlallerinin cezasını en az 50 milyon AUD’ye (kabaca 260 rupi) yükselten bir yasa çıkardı.
“Son haftalardaki önemli gizlilik ihlalleri, mevcut korumaların eski ve yetersiz olduğunu gösterdi. Bu yasa, şirketlere, büyük bir veri ihlali cezasının artık iş yapmanın maliyeti olarak kabul edilemeyeceğini açıkça gösteriyor” dedi.
© 2022 Bloomberg LP
