• 發布單位:TWCERT/CC
• 更新日期:2022-11-01
• 點閱次數:5996

澳洲大型銀行兼保險業者 Medibank 日前發表資安通報，證實在近期發生的勒贖攻擊中，該行儲存的所有客戶個資與大量健康申告書資料，都遭到駭侵者竊走，受害客戶總數高達 280 萬人。

該行在日前發表的聲明中承認，這次勒贖攻擊對該行客戶資料造成的危害，經過調查後發現比預期的大相當多；個人資料與個人健康申告資料被竊的客戶，包括該行的所有澳洲籍保險客戶、所有國際學生保險客戶、所有 Medibank 銀行客戶等。

該行也在聲明中指出，發現駭侵者有刻意刪除系統存取資料的行為，因此無法排除在客戶個資遭竊之外，還會發現更大損失的可能。

這波針對 Medibank 的駭侵攻擊活動，發生於 2022 年 10 月 12 日；Medibank 在隔天隨即發布資安通報，當時通報指出沒有資料遭竊的證據；不過數日後 Medibank 承認勒贖攻擊者與該行聯絡，並且展示竊自該行的 200GB 資料，該行進一步調查後才發現所有客戶資料全都遭到駭侵者竊走。

目前該行對外表示，仍持續進行調查，並與執法單位合作；對於受這起資料竊取事件影響的 Medibank 保險與銀行客戶，該公司提供財務支援，必須重新申請證件辦理的客戶，其一切費用亦由該行負擔。

此外，鑑於澳洲近日發生多起針對公私單位的駭侵攻擊活動，澳洲政府也準備提高個資保護相關罰則；未能保護客戶資料導致遭駭的罰金，將從目前的 222 萬澳元大幅提高到 5,000 萬澳元，或是所造成損失的三倍金額，或是該公司當年營收的 30%，三者取最大值予以裁罰。

鑑於各類個資竊取造成的損失愈來愈大，政府對這類資安管理失當的裁罰也日漸加重，握有客戶個資的公私單位應思考減少對於客戶個資的需求，同時加強各種資安防護能力，避免所保存的個資被竊而遭到重罰，以及對應的司法賠償與刑事責任。