Die Medibank weigert sich, dem mutmaßlichen Hacker, der Daten von 9,7 Millionen Kunden gestohlen hat, ein Lösegeld zu zahlen, weil die Organisation auf keinen Fall „Kriminellen vertrauen“ könne, um Menschen nicht weiter auszubeuten, sagt der Vorstandsvorsitzende des Krankenversicherers, David Koczkar.
Letzten Monat enthüllte Medibank, dass ein Hacker mit kompromittierten High-Level-Anmeldeinformationen auf die persönlichen Daten von bis zu vier Millionen Kunden zugreifen konnte, darunter ahm und internationale Studentenkunden.
Das Unternehmen hatte nach eigenen Angaben Kontakt zu dem mutmaßlichen Angreifer gehabt, und es gab Spekulationen, dass die Medibank ein Lösegeld zahlen könnte, um die Veröffentlichung der Daten im Internet zu verhindern.
In einer Erklärung gegenüber der australischen Börse am Montag sagte Koczkar jedoch, der vom Unternehmen erhaltene Rat – zusammen mit der Position der australischen Regierung – sei, dass kein Lösegeld gezahlt werden sollte.
In einem Interview mit Guardian Australia sagte Koczkar, die Zahlung eines Lösegelds komme einer Erpressung gleich und hätte dazu führen können, dass Kunden oder andere Unternehmen ins Visier genommen wurden.
„Man kann den Kriminellen einfach nicht trauen. Unser Rat ist, dass die Nichtzahlung des Lösegelds die beste Sicherheit für unsere Kunden und auch andere Australier bietet“, sagte er.
Der Vorstandsvorsitzende wollte nicht verraten, wie viel der mutmaßliche Hacker verlangt hatte, sagte aber, der Betrag sei kein Faktor bei der Entscheidung des Unternehmens. Er sagte, die Entscheidung basiere auf Ratschlägen von Experten für Cyberkriminalität und der Bundesregierung.
Medibank hat festgestellt, dass das Ausmaß des Verstoßes jetzt viel größer ist als bisher angenommen, mit 9,7 Millionen aktuellen und ehemaligen Kunden, auf deren Namen, Geburtsdaten, Telefonnummern und E-Mail-Adressen zugegriffen wird. Dazu gehören 5,1 Millionen Medibank-Kunden, 2,8 Millionen ahm-Kunden und 1,8 Millionen internationale Kunden.
Laut Medibank wurde auf Gesundheitsansprüche von rund 160.000 Medibank-Kunden, 300.000 ahm-Kunden und 20.000 internationalen Kunden zugegriffen. Die offengelegten Informationen umfassen den Namen des Dienstanbieters und Codes, die mit Diagnosen und Verfahren verbunden sind.
Es gab auch 5.200 My Home Hospital-Patienten, bei denen auf ihre persönlichen und Gesundheitsdaten zugegriffen wurde, und bei 2.900 nächsten Angehörigen dieser Patienten, bei denen auf einige Kontaktdaten zugegriffen wurde.
Der Angreifer war auch in der Lage, auf Medicare-Nummern von ahm-Kunden sowie Passnummern und Visa-Details für internationale Studentenkunden zuzugreifen.
Medibank hat festgestellt, dass der Angreifer nicht auf primäre ID-Dokumente wie Führerscheine für Medibank- und ahm-Kunden zugegriffen hat und nicht auf Kreditkarten- oder Bankdaten oder Gesundheitsdaten für zusätzliche Dienstleistungen wie zahnärztliche, physiotherapeutische oder optische Leistungen zugegriffen hat.
Das Unternehmen sagte, es sei nun der Ansicht, dass alle Daten, auf die zugegriffen wurde, hätten gestohlen werden können, und riet Kunden, wachsam zu sein, da der Angreifer die Daten jetzt online veröffentlichen oder versuchen könnte, Kunden direkt zu kontaktieren.
„Die Bewaffnung ihrer privaten Informationen zur Erpressung von Zahlungen ist böswillig und ein Angriff auf die am stärksten gefährdeten Mitglieder unserer Gemeinschaft“, sagte Koczkar.
Die australische Bundespolizei untersucht den Angriff weiter.
Koczkar enthüllte auch die Pläne der Medibank, so viel wie möglich aus einer separaten unabhängigen Untersuchung des Angriffs herauszugeben, damit andere Unternehmen möglicherweise aus dem Angriff lernen könnten.
„Wir wollen alles tun, um unsere eigenen Kunden, aber auch andere Menschen in diesem Land vor Cyberangriffen zu schützen“, sagte er.
Er sagte, dass eine Multi-Faktor-Authentifizierung – die verhindern soll, dass Personen, die Zugangsdaten stehlen, Zugang zu einem System erhalten – vorhanden sei, sagte aber nicht, ob sie auch kompromittiert worden sei.
Medibank sagte, es habe keine Versuche mehr gegeben, auf ihr Netzwerk zuzugreifen, seit sie den Angreifer Anfang Oktober ausgeschaltet habe. Das Unternehmen konnte das Ausmaß des Angriffs durch einen „komplexen Prozess“ zusammensetzen, an dem Menschen Millionen von Datensätzen analysierten.
Aktuelle und ehemalige Kunden werden darüber informiert, worauf zugegriffen wurde und was sie tun sollten, sagte Medibank, mit dem Rat, in einigen Fällen per E-Mail, Brief oder Telefon zu kommen.
Das Unternehmen sagte, es sei verpflichtet, die Daten von Kunden bis zu sieben Jahre lang aufzubewahren, nachdem sie aufhören, Medibank-Kunde zu sein, „aber in einigen Fällen länger“. Auf die Frage, ob die Medibank eine Änderung dieser Gesetze begrüßen würde, sagte Koczkar, dies sei eine Diskussion, die Australien führen müsse.
„Wir brauchen Daten, um unsere Kunden beim Zugang zu Gesundheits- und Wellnessdiensten zu unterstützen. Diese Frage ist eine wichtige Frage für die Gemeinschaft“, sagte er.
„Ich denke, es muss eine Beratung geben [and] Diskussion.”
Das Unternehmen hat eine Beratungs-Hotline (1800 644 325) für gefährdete Kunden eingerichtet, die über den Verstoß besorgt sind. Medibank hat auch angekündigt, dass sie einigen Kunden in Notfällen Unterstützung bieten wird, sowie ID-Schutz und -Überwachung und Erstattung für ID-Ersatz für diejenigen, deren Identität kompromittiert wurde.