Les pirates de Medibank auraient publié toutes les données sur le dark web

Les pirates qui ont piraté les systèmes de Medibank ont ​​déversé un autre lot de données sur le dark web, ainsi que des affirmations selon lesquelles les fichiers contiennent toutes les données qu’ils ont prises lors d’un braquage qui a touché 9,7 millions de clients. Le groupe d’assurance australien confirme que six fichiers de données compressés ont été publiés, tandis que les responsables gouvernementaux réitèrent la nécessité de revoir la cyberstratégie du pays.

Medibank a déclaré jeudi qu’elle analysait les données, qui ont été publiées du jour au lendemain sur le dark web, mais a ajouté que les fichiers semblaient contenir des informations sur les clients compromises dans la violation. Première annoncé en octobre, l’incident de sécurité a touché 9,7 millions de clients actuels et anciens ainsi que certains de leurs représentants autorisés. Parmi les personnes concernées, 1,8 million de clients internationaux.

Avant le dernier vidage de données, les pirates impliqués dans le vol avaient publié les fichiers par lots avec des demandes de rançon. Medibank avait déclaré qu’elle ne paierait aucune rançon.

Dans sa déclaration de jeudi, la compagnie d’assurance a déclaré qu’il n’y avait aucune indication que les détails financiers ou bancaires avaient été compromis et que les données volées à elles seules étaient insuffisantes pour faciliter la fraude d’identité ou financière. Il a en outre noté que les données brutes, jusqu’à présent, avaient été jugées incomplètes et difficiles à comprendre.

Il en est resté ainsi pour les six derniers fichiers compressés, qui ont été publiés dans un dossier étiqueté « complet », a déclaré Medibank, ajoutant que les données de santé publiées ne correspondaient pas aux coordonnées du client et des contacts.

Le procureur général australien, Mark Dreyfus, a déclaré que le gouvernement était au courant du dernier vidage de données et a confirmé que des « agences » l’examinaient.

Un examen de la loi sur la protection de la vie privée du pays devait également être achevé d’ici la fin de l’année, a déclaré Dreyfus lorsqu’on lui a demandé comment la législation devrait être mise à jour, à la suite de la récente augmentation des sanctions pour les violations de données. S’exprimant dans un entretien avec ABC Radio Melbourne il a déclaré: « C’est une législation vraiment obsolète. Nous devons en faire une réforme en profondeur. »

Dreyfus a ajouté qu’il travaillerait sur une « révision complète » de la loi sur la protection des renseignements personnels l’année prochaine. Jusque-là, il a noté que l’augmentation significative des sanctions financières devrait inciter les organisations locales qui stockent les informations personnelles des résidents australiens à s’assurer qu’elles prennent mieux soin des données et adoptent de meilleures mesures de sécurité.

Le mois dernier, le gouvernement a adopté une loi visant à porter les sanctions financières maximales pour les violations de données graves ou répétées à 50 millions de dollars australiens (32,34 millions de dollars), contre 2,22 millions de dollars australiens précédents, soit trois fois la valeur de tout avantage obtenu grâce à l’utilisation abusive des données, ou 30 % du chiffre d’affaires ajusté de l’entreprise au cours de la période concernée, le montant le plus élevé étant retenu.