CANBERRA, Australie (AP) – Un cybercriminel détenait contre rançon les données des clients d’un assureur maladie australien, y compris les diagnostics et les traitements, dans la deuxième violation majeure de la vie privée du pays en un mois, ont annoncé jeudi des responsables.
Le commerce des actions de Medibank est interrompu à la Bourse australienne depuis mercredi, lorsque la police a été alertée que la société avait été contactée par ce qu’elle a décrit comme un « criminel » qui voulait négocier sur les données personnelles volées des clients.
Medibank, qui compte 3,7 millions de clients, a déclaré jeudi que le criminel avait fourni un échantillon de 100 politiques client à partir d’un prétendu transport de 200 gigaoctets de données volées.
Les détails comprenaient les noms, adresses, dates de naissance, numéros d’identification nationaux des soins de santé et numéros de téléphone des clients.
La ministre de la Cybersécurité, Clare O’Neil, a déclaré que le plus préoccupant était que des dossiers de diagnostics et de procédures médicales avaient également été volés.
« Le crime financier est une chose terrible. Mais en fin de compte, une carte de crédit peut être remplacée », a déclaré O’Neil aux journalistes.
« La menace qui est proférée ici pour rendre les informations privées et personnelles sur la santé des Australiens mises à la disposition du public est un acte de chien », a-t-elle ajouté.
Le voleur avait menacé de vendre les données de Medibank à des tiers et avait isolé les dossiers de 1 000 politiciens, personnalités des médias, acteurs, militants LGBTQ et toxicomanes pour les exposer, a rapporté Nine Network News.
« Nous avons trouvé des personnes avec des diagnostics très intéressants », aurait écrit le voleur à Medibank.
Medibank a refusé de commenter les menaces signalées et n’a pas divulgué de détails au-delà de sa déclaration à l’Australian Securities Exchange.
La violation de Medibank est survenue un mois après qu’une cyberattaque a volé à la société de télécommunications Optus les données personnelles de 9,8 millions de clients.
La violation d’Optus, qui a compromis les données personnelles de plus d’un tiers de la population australienne, a incité le gouvernement à proposer des réformes urgentes des lois sur la confidentialité qui augmenteraient les sanctions pour les entreprises qui ne protègent pas les données des clients et limitent la quantité de données qui peuvent être retenu.
O’Neil a déclaré que la cybercriminalité était un problème croissant dans le monde et que l’Australie devait être mieux préparée.
« Nous allons subir des cyberattaques incessantes essentiellement à partir de maintenant, et cela signifie que nous devons faire beaucoup mieux en tant que pays pour nous assurer que nous faisons tout ce que nous pouvons au sein des organisations pour protéger les données des clients et aussi pour citoyens à faire tout ce qu’ils peuvent », a déclaré O’Neil.
« Combiné avec Optus, c’est un énorme signal d’alarme pour le pays et donne certainement au gouvernement un mandat très clair pour faire certaines choses qui, franchement, auraient probablement dû être faites il y a cinq ans, mais je pense qu’elles sont toujours d’une importance cruciale », a-t-elle ajouté, faisant référence aux réformes de la loi sur la protection de la vie privée que le gouvernement espère faire adopter au Parlement cette année.
O’Neil a décrit la violation de Medibank comme une « attaque de ransomware », que le gouvernement définit comme une attaque avec un logiciel malveillant qui verrouille ou crypte les fichiers afin que le propriétaire ne puisse plus y accéder.
Le bureau d’O’Neil a déclaré plus tard qu’elle s’était mal exprimée et voulait dire que le coupable avait exigé une rançon.
Medibank a déclaré que ses systèmes n’avaient pas été chiffrés par un rançongiciel et que ses activités habituelles avec ses clients se poursuivaient.
Le directeur général de Medibank, David Koczkar, a déclaré que son entreprise travaillait avec des entreprises spécialisées dans la cybersécurité ainsi qu’avec des experts de la police et du gouvernement en réponse à la violation.
« Je m’excuse sans réserve pour ce crime qui a été perpétré contre nos clients, notre peuple et la communauté au sens large », a déclaré Koczkar dans un communiqué.
« Je sais que beaucoup seront déçus par Medibank et je reconnais cette déception », a-t-il ajouté.