Medibank Private hat einen Schlussstrich gezogen und wird kein Lösegeld an die Hacker zahlen, während das Unternehmen weitere Details über die persönlichen Daten von 9,7 Millionen aktuellen und ehemaligen Kunden preisgibt, die durch den Cyberangriff offengelegt wurden.
Der Vorstandsvorsitzende der Medibank, David Koczkar, wies am Montag auf die komplexen Risiken hin, die entstehen, wenn man den Forderungen von Cyberkriminellen nachgibt.
"Man kann einem Kriminellen einfach nicht trauen", sagte Koczkar. "Alle Ratschläge besagen, dass die Zahlung keine Garantie dafür ist, dass die Daten zurückgegeben werden. Das erhöht die Wahrscheinlichkeit, dass Menschen ausgenutzt werden und mehr Australier gefährdet sind, dramatisch".
Die Ministerin für Cybersicherheit, Clare O'Neil, begrüßte die Entscheidung.
Wie Medibank gemeinsam mit Optus in die Hack-Hölle geriet
"Die Entscheidung von Medibank entspricht dem Rat der australischen Regierung. Cyberkriminelle betrügen, lügen und stehlen. Sie zu bezahlen, fördert nur das Geschäftsmodell der Ransomware. Sie verpflichten sich, im Gegenzug für die Zahlung Maßnahmen zu ergreifen, schaden aber so oft Unternehmen und Einzelpersonen", sagte sie.
"Ich möchte, dass Australien das cybersicherste Land der Welt wird. Die Zahlung von Lösegeldern untergräbt dieses Ziel direkt".
Medibank erklärte, dass sie sich vor ihrer Entscheidung ausführlich mit Experten für Cyberkriminalität beraten hat.
"Aus diesen Gründen haben wir beschlossen, dass wir kein Lösegeld für diese Veranstaltung zahlen werden.
Anzeige
Shane Bell, ein Experte für Cybersicherheit bei McGrathNicol, unterstützte die Haltung von Medibank.
"Es gibt absolut keine Bestätigung, dass sie das tun, was sie versprechen", sagte er.
"Sie nehmen sie für bare Münze. Sie sagen, dass sie die Daten löschen und nicht veröffentlichen werden, aber meiner Erfahrung nach geben sie sie Ihnen nicht zurück, selbst wenn Sie darum bitten."
Koczkar sagte, dass der Gruppe keine Fälle bekannt seien, in denen der Hack mit gegen Kunden gerichteter Cyberkriminalität in Verbindung gebracht worden sei, dass sie sich aber auf die Möglichkeit vorbereite, dass diese Ausnutzung jetzt mit ihrer Zahlungsverweigerung beginnen könnte.
Dies könnte durch die Online-Veröffentlichung von Kundendaten oder durch den Versuch, Kunden direkt zu kontaktieren, geschehen.
"Ich ermutige jeden Kunden, dessen Daten tatsächlich kompromittiert wurden - denn wir haben keine Beweise dafür, dass diese Daten nach außen gelangt sind -, sich mit uns in Verbindung zu setzen. Oder mit der Regierung über Bericht Cyber", sagte er.
Die Hacker haben gedroht, 200 Gigabyte gestohlener Daten zu verkaufen, falls Medibank kein Lösegeld zahlt. CREDIT:AP
In dem Update von Medibank heißt es, dass auf die grundlegenden Kundendaten von 9,7 Millionen aktuellen und ehemaligen Kunden zugegriffen wurde, dass aber die Zahl der Kunden, bei denen der Zugriff auf ihre privaten Gesundheitsdaten erfolgte, auf weniger als 500.000 eingegrenzt werden konnte.
Dazu gehören 160.000 Medibank-Kunden, etwa 300.000 Kunden der Billigmarke ahm und etwa 20.000 internationale Kunden.
Die Gruppe sagte, dies umfasse den Namen und den Standort des Leistungserbringers, den Ort, an dem die Kunden bestimmte medizinische Leistungen erhalten haben, sowie Codes im Zusammenhang mit Diagnosen und verabreichten Verfahren. Darüber hinaus wurde bei etwa 5200 My Home Hospital (MHH)-Patienten auf personenbezogene Daten und Daten zu Krankenversicherungsansprüchen zugegriffen, und bei etwa 2900 Angehörigen dieser Patienten wurde auf einige Kontaktdaten zugegriffen.
Es gibt einen Grund, warum Sie von so vielen Hacks hören
Medibank gab an, dass der Zugriff auf die Daten aller 9,7 Millionen aktuellen und ehemaligen Kunden den Namen, das Geburtsdatum, die Adresse, die Telefonnummer und die E-Mail-Adressen der Kunden umfasste. Es handelt sich um etwa 5,1 Millionen Medibank-Kunden, etwa 2,8 Millionen ahm-Kunden und etwa 1,8 Millionen internationale Kunden.
Das Unternehmen bekräftigte, dass keine Kreditkartendaten gestohlen wurden.
Das reicht vielleicht nicht aus, um die Kunden davon zu überzeugen, dass es sich lohnt, bei der Medibank zu bleiben.
Gary Laing, 61, wohnhaft in Sutherland, ist seit seinem 18. Lebensjahr bei Medibank beschäftigt und erfuhr von dem Hack, als er den Radiosender 2GB in Sydney hörte.
Laing erhielt zwei E-Mails von Medibank, in denen ihm mitgeteilt wurde, dass seine Daten "sicher" seien, aber er ist nicht überzeugt und bezeichnete die Preisgabe seiner privaten Daten als "widerlich".
Nach jahrelanger Treue zum Versicherungsanbieter erwartet Laing eine gewisse Entschädigung.
"Ich warte auf eine Anwaltskanzlei, die eine Sammelklage gegen sie einleitet", sagte er. "Ich werde im Moment nicht umziehen, aber ich werde es in Betracht ziehen, wenn wir keine Entschädigung erhalten.
Am Montag kündigte Medibank außerdem an, dass sie eine externe Überprüfung in Auftrag geben werde, zu der in naher Zukunft weitere Einzelheiten bekannt gegeben werden sollen.
"Medibank verpflichtet sich, die wichtigsten Ergebnisse der Überprüfung mitzuteilen, wo dies unter Berücksichtigung der Interessen ihrer Kunden und Stakeholder sowie der laufenden Ermittlungen der australischen Bundespolizei angemessen ist."
Ein Update könnte bereits auf der jährlichen Aktionärsversammlung des Unternehmens in der nächsten Woche erfolgen.
Medibank deckte den Cybervorfall erstmals im vergangenen Monat auf, aber ursprünglich gesagt es gab keine Beweise dafür, dass auf Kundendaten zugegriffen worden war. Dies eskalierte in der folgenden Woche, als Medibank eine Lösegeldforderung erhalten von den Hackern, die auch an die folgende Adresse geschickt wurde Der Sydney Morning Herold und Das Alter.
Die unbekannte Gruppe erklärte, sie werde 200 Gigabyte gestohlener Daten verkaufen, wenn Medibank kein Lösegeld zahle. Die Hacker drohten auch damit, vertrauliche Daten der 1000 berühmtesten Kunden der Medibank zu veröffentlichen.
Der Cyberangriff ist Gegenstand einer Untersuchung der australischen Bundespolizei.
Koczkar sagte letzten Monat, dass das Unternehmen weiterhin eng mit den Behörden der Bundesregierung zusammenarbeiteneinschließlich der laufenden strafrechtlichen Ermittlungen in dieser Angelegenheit.
"Dies ist ein bösartiger Angriff, der von Kriminellen mit dem Ziel begangen wurde, ein Höchstmaß an Angst und Schaden zu verursachen, insbesondere bei den schwächsten Mitgliedern unserer Gemeinschaft", sagte er.
https://www.brisbanetimes.com.au/business/companies/medibank-says-it-won-t-pay-cyber-ransom-20221104-p5bviw.html
