Medibank, крупнейшая медицинская страховая компания Австралии, не будет выплачивать хакерам выкуп за похищенные личные данные 9,7 млн клиентов. Руководство компании посчитало, что выкуп не предотвратит публикацию украденной информации и не гарантирует её возвращение. Как указано в заявлении Medibank, это решение полностью одобрила австралийская полиция.
«Преступнику, ответственному за кражу данных, не будет выплачен выкуп. Мы полагаем, что выплата выкупа не гарантирует возврат личной информации наших клиентов и не предотвратит её публикацию. Более того, это может дать противоположный эффект и подтолкнуть преступника к дальнейшему вымогательству, <…> что подвергнет опасности ещё больше людей», — заявляет Medibank.
Кибератака была зафиксирована 14 октября. Первоначально страховщик объявил, что преступникам не удалось получить доступ к личным данным, но позже подтвердил, что хищение всё-таки состоялось. Компания и в этот раз не была полностью откровенна, заявив, что преступники получили доступ к незначительному объёму информации. Позже Medibank признала, что в результате атаки, ущерб от которой оценивается в $20 млн, пострадали все её клиенты.
Злоумышленники смогли похитить данные 9,7 млн клиентов, а не 3,9 млн, как заявлялось ранее. Речь идёт о полных именах, датах рождения, адресах и номерах телефонов застрахованных, а также их электронной почте, номерах паспортов, карт медицинского страхования и виз. Скомпрометированы также данные о диагнозах, результатах анализов и медицинских процедурах.
Компания не располагает информацией, получили ли преступники доступ к данным кредитов и банковским реквизитам клиентов, как и к снимкам документов, удостоверяющих личность, но допускает, что и эти сведения могли быть украдены.
«К сожалению, мы считаем, что все данные клиентов, к которым был получен доступ, могли быть похищены преступником и просим сохранять бдительность, поскольку хакер может опубликовать личную информацию или попытаться связаться с клиентами напрямую», — отмечается в заявлении Medibank.
