Un cyber-extorqueur publie des informations médicales prétendant montrer des détails sur les avortements et les traitements contre la dépendance, le VIH.
Un cyber-extorqueur a exigé près de 10 millions de dollars pour arrêter de divulguer les dossiers médicaux des Australiens pris dans l’une des pires cyberattaques du pays.
Dans un message publié sur le dark web tôt jeudi matin, le pirate a déclaré qu’il exigeait 1 $ de Medibank, le plus grand assureur privé d’Australie, pour chacun des 9,7 millions de clients touchés par une énorme violation de données le mois dernier.
L’organisation cybercriminelle ou criminelle a également publié des informations prétendant relier les clients à leurs avortements, après avoir publié plus tôt cette semaine une « liste coquine » semblant montrer aux clients qui ont reçu des traitements pour la toxicomanie, les problèmes de santé mentale et le VIH.
Les médias locaux ont lié le forum Web sombre utilisé pour publier les données piratées au groupe criminel REvil, que les autorités russes ont déclaré avoir fermé plus tôt cette année à la demande des États-Unis.
Le PDG de Medibank, David Koczkar, a condamné jeudi les actions du pirate comme « honteuses » tout en réitérant ses excuses aux clients.
« Nous restons déterminés à communiquer de manière complète et transparente avec les clients et nous contacterons les clients dont les données ont été publiées sur le dark web », a déclaré Koczkar.
« La militarisation des informations privées des gens dans le but d’extorquer un paiement est malveillante et constitue une attaque contre les membres les plus vulnérables de notre communauté. »
Medibank a refusé de payer la rançon, citant les conseils d’experts en cybercriminalité selon lesquels cela ne garantirait pas le retour des informations des clients et pourrait mettre « plus de personnes en danger en faisant de l’Australie une cible plus importante ».
La police fédérale australienne, qui enquête sur la cyberattaque, a averti que le téléchargement ou même le simple accès aux données pourrait constituer une infraction pénale.
La ministre de l’Intérieur, Clare O’Neil, a qualifié les pirates de « criminels crasseux ».
« Je ne peux pas exprimer le dégoût que j’ai pour les scumbags qui sont au cœur de cet acte criminel », a déclaré O’Neil au Parlement mercredi.
La cyberattaque, qui a été révélée pour la première fois le mois dernier, est la dernière d’une série de grandes violations de données à secouer l’Australie.
Optus, le deuxième fournisseur de télécommunications d’Australie, a annoncé en septembre que les données de jusqu’à 10 millions de clients avaient été compromises lors d’une cyberattaque contre l’entreprise.