Medibank hat bekannt gegeben, dass die Daten aller ihrer 3,9 Millionen Kunden einem Hacker ausgesetzt wurden, was zu einer erheblichen Eskalation des Cyberangriffs auf den australischen Krankenversicherer führte.
In einem Update an die australische Börse am Mittwoch sagte das Unternehmen, dass seit der Ankündigung vom Dienstag, dass möglicherweise alle Kundendaten offengelegt wurden, die Untersuchung des Verstoßes nun ergeben hat, dass der Hacker Zugang zu allen persönlichen Daten von Medibank, ahm und internationalen Studenten hatte Daten und erhebliche Mengen an Daten zu gesundheitsbezogenen Angaben.
Zu den personenbezogenen Daten gehören Name, Adresse, Geburtsdatum, einige Medicare-Kartennummern und Geschlecht. Die Gesundheitsinformationen umfassen die von Kunden gemachten Anspruchscodes.
Wie viele bzw. welche Kunden über die 1.000 Datensätze hinaus, die der Hacker dem Versicherer in den vergangenen zwei Wochen zur Verfügung gestellt hat, betroffen sind, kann die Medibank noch nicht abschließend sagen. Durch diese Kommunikation mit dem Hacker konnte Medibank bisher das Ausmaß der Verletzung ermitteln.
Der Verstoß wird auch ehemalige Kunden betreffen, wobei Medibank gestern bestätigte, dass die Gesundheitsaktengesetze der Bundesstaaten und Territorien das Unternehmen dazu verpflichten, Daten sieben Jahre lang aufzubewahren.
Kunden erhalten ein finanzielles Unterstützungspaket für Härtefälle, wenn sie sich infolge des Hacks in einer „einzigartig gefährdeten Position“ befinden, und Medibank sagt, dass sie Kunden die Kosten erstatten wird, die mit der Neuausstellung von Ausweisdokumenten für diejenigen verbunden sind, die durch den Hack kompromittiert wurden .
Der Hack wird das Unternehmen wahrscheinlich mindestens zwischen 25 und 35 Millionen Dollar kosten, sagte Medibank. Dies liegt daran, dass Medibank keine Cyber-Angriffsversicherung hat, und diese geschätzten Kosten beinhalten keine Kundenentschädigung oder regulatorische oder rechtliche Kosten, die gegen das Unternehmen vorgebracht werden könnten.
Medibank steht in Kontakt mit dem Hacker – der gestohlene Medibank-Zugangsdaten von einem anderen Hacker in einem russischen Cyberkriminellen-Forum erhalten hat –, aber das Unternehmen hat sich geweigert zu sagen, ob es Lösegeldforderungen bezahlen würde.
In einem Gespräch mit Investoren am Mittwoch sagte John Goodall, Head of Technology and Operations der Medibank, dass das Unternehmen Überwachungstools in seinem Netzwerk eingesetzt habe und diese Tools darauf hindeuten, dass sich der Hacker nicht mehr in den Systemen des Unternehmens befinde.
Der Vorstandsvorsitzende der Medibank, David Koczkar, sagte, es gebe keine Beweise dafür, dass Kreditkarteninformationen kompromittiert worden seien, er schließe dies jedoch nicht aus.
„Wir haben keine Beweise dafür, dass Kreditkartendaten entfernt wurden“, sagte er. „Aber ich werde ganz klar sagen, dass wir die Ermittlungen fortsetzen. Und sobald uns klar wird, ob sich das ändert, werden wir es deutlich machen.“
Er sagte, die Informationen, die das Unternehmen über den Angriff erhalten habe, seien durch Kommunikation mit dem Hacker entstanden, der Beweise für erhaltene Aufzeichnungen vorlege.
In einer Mitteilung an die Börse entschuldigte sich Koczkar vorbehaltlos bei den Kunden.
„Dies ist ein schreckliches Verbrechen – dies ist ein Verbrechen, das dazu bestimmt ist, den am stärksten gefährdeten Mitgliedern unserer Gemeinschaft maximalen Schaden zuzufügen.“
Die Medibank kündigte am Dienstag an, Prämienerhöhungen für alle Kunden bis Ende Januar 2023 zu verschieben. Am Mittwoch teilte das Unternehmen mit, dass dies rund 62 Millionen US-Dollar kosten würde, was durch Einsparungen ausgeglichen würde, die das Unternehmen während der Covid-19-Pandemie erzielt hat.
Der Hack wird von der australischen Bundespolizei untersucht.