CANBERRA, Australie (AP) – Le plus grand assureur maladie d’Australie a déclaré mercredi qu’un cybercriminel avait piraté les données personnelles de ses 4 millions de clients, alors que le gouvernement a introduit une législation qui augmenterait les sanctions pour les entreprises qui ne protègent pas les informations privées des clients.
Medibank a déclaré que « des quantités importantes de données sur les réclamations de santé » avaient également été consultées lors de la violation, qui a été signalée à la police il y a une semaine lorsque le commerce des actions de la société a été interrompu.
Le voleur a exigé une rançon et aurait menacé de divulguer les diagnostics et les traitements de clients de premier plan.
Medibank a déclaré que sa priorité était de découvrir les données spécifiques volées en relation avec chaque client et de partager ces informations avec ces clients.
La société avait précédemment déclaré que la violation était considérée comme limitée à sa filiale AHM et aux étudiants étrangers.
« Notre enquête a maintenant établi que ce criminel a accédé à toutes les données personnelles de nos clients de l’assurance maladie privée et à des quantités importantes de données sur leurs réclamations de santé », a déclaré le directeur général de Medibank, David Koczkar, dans un communiqué à l’Australian Securities Exchange.
« C’est un crime terrible – c’est un crime conçu pour causer un maximum de tort aux membres les plus vulnérables de notre communauté », a ajouté Koczkar, avec des excuses aux clients.
Le gouvernement a prévu des réformes législatives urgentes sur la réglementation de la cybersécurité depuis qu’un pirate informatique a volé les données personnelles de près de 10 millions de clients actuels et anciens d’Optus, le deuxième opérateur de télécommunications sans fil d’Australie.
Optus a appris le 21 septembre que les données personnelles de plus d’un tiers des 26 millions d’habitants de l’Australie avaient été volées.
En présentant mercredi au Parlement des amendements à la loi sur la protection de la vie privée, le procureur général Mark Dreyfus a mentionné les deux entreprises et MyDeal, un intermédiaire de vente au détail en ligne qui a perdu les données de 2,2 millions de clients dans un piratage révélé il y a deux semaines.
« Comme les cyberattaques Optus, Medibank et MyDeal l’ont récemment mis en évidence, les violations de données peuvent causer de graves dommages financiers et émotionnels aux Australiens, ce qui est inacceptable », a déclaré Dreyfus au Parlement.
« Les gouvernements, les entreprises et les autres organisations ont l’obligation de protéger les données personnelles des Australiens, et non de les traiter comme un atout commercial », a ajouté Dreyfus.
Le gouvernement critique les entreprises qui accumulent plus de données clients que nécessaire pour en tirer des bénéfices sans rapport avec les services pour lesquels les informations ont été fournies.
Les sanctions pour les violations graves de la loi sur la protection de la vie privée passeraient de 2,2 millions de dollars australiens (1,4 million de dollars) à 50 millions de dollars australiens (32 millions de dollars) en vertu des modifications proposées.
Une entreprise pourrait également être condamnée à une amende de 30 % de ses revenus sur une période définie si ce montant dépassait 50 millions de dollars australiens (32 millions de dollars).
Medibank a déclaré mercredi qu’elle n’avait pas de cyber-assurance et a estimé que le piratage réduirait ses revenus de 25 millions de dollars australiens (16 millions de dollars) à 35 millions de dollars australiens (22 millions de dollars) au début de l’année prochaine.
L’arrêt de la négociation de Medicare a été levé mercredi et les actions ont chuté de plus de 14 % en début de séance.