La firma australiana de seguros de salud Medibank reveló el miércoles que se había accedido sin autorización a la información personal de todos sus clientes luego de un reciente ataque de ransomware.
En una actualización de su investigación en curso sobre el incidente, la firma dijo los atacantes tuvieron acceso a «cantidades significativas de datos de reclamos de salud», así como a datos personales pertenecientes a sus subsidiaria de seguros de salud ahm y estudiantes internacionales.
Medibank, que es uno de los mayores proveedores de seguros de salud privados de Australia, atiende a unos 3,9 millones de clientes a través del país.
«Tenemos evidencia de que el delincuente eliminó algunos de estos datos y ahora es probable que haya robado más datos personales y de reclamos de salud», agregó la compañía. «Como resultado, esperamos que la cantidad de clientes afectados crezca sustancialmente».
La compañía también dijo que continúa su investigación para determinar qué datos específicos han sido robados en el ataque y que notificará directamente a los clientes afectados sobre el asunto.
El desarrollo se produce cuando el incidente se ha convertido en objeto de una investigación por parte de la Policía Federal Australiana (AFP), con Medibank. reconociendo que ha sido contactado por un actor criminal que afirma haber desviado 200 GB de datos.
«Esos datos incluyen nombres y apellidos, direcciones, fechas de nacimiento, números de Medicare, números de póliza, números de teléfono y algunos datos de reclamos», señaló. «Estos datos de reclamos incluyen la ubicación donde un cliente recibió servicios médicos y códigos relacionados con su diagnóstico y procedimientos».
También se ha accedido a otra información personal de identificación única, como los números de pasaporte con respecto a las políticas de estudiantes internacionales, pero Medibank enfatizó que no encontró evidencia de que se hayan violado los detalles de débito directo.
en un separado anuncio de inversionista, Medibank dijo que ha reforzado sus capacidades de monitoreo para prevenir este tipo de ataques en el futuro. También estimó que el evento de ciberdelincuencia costaría entre AU $ 25 millones y AU $ 35 millones.
Se ha recomendado a los clientes de Medibank que estén atentos a cualquier estafas de phishing o smishingy la compañía prometió servicios gratuitos de monitoreo de identidad y apoyo financiero para aquellos «que se encuentran en una posición especialmente vulnerable como resultado de este delito».
El hack de Medibank sigue a otro ataque cibernético dirigido al gigante australiano de las telecomunicaciones Optus, que resultado en el robo de casi 2,1 millones de sus clientes actuales y anteriores.
Las filtraciones de datos dañinas y de alto perfil han llevado al gobierno australiano a introducir leyes estrictas de protección de datos, que incluyen sanciones monetarias más altas de hasta 50 millones de dólares australianos del límite actual de 2,2 millones de dólares australianos.
El nuevo Proyecto de Ley de Enmienda de la Legislación de Privacidad de 2022 también busca otorgar al Comisionado de Información de Australia más poderes para resolver las violaciones de la privacidad.
«Las violaciones significativas de la privacidad en las últimas semanas han demostrado que las salvaguardas existentes son inadecuadas», dijo el fiscal general Mark Dreyfus. dijo. «Necesitamos mejores leyes para regular cómo las empresas manejan la gran cantidad de datos que recopilan y mayores sanciones para incentivar un mejor comportamiento».