按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

澳洲 Medibank 承認所有 280 萬名用戶個資均遭駭侵者竊走

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-11-01
  • 點閱次數:1927
澳洲 Medibank 承認所有 280 萬名用戶個資均遭駭侵者竊走 TWCERT/CC

澳洲大型銀行兼保險業者 Medibank 日前發表資安通報,證實在近期發生的勒贖攻擊中,該行儲存的所有客戶個資與大量健康申告書資料,都遭到駭侵者竊走,受害客戶總數高達 280 萬人。

該行在日前發表的聲明中承認,這次勒贖攻擊對該行客戶資料造成的危害,經過調查後發現比預期的大相當多;個人資料與個人健康申告資料被竊的客戶,包括該行的所有澳洲籍保險客戶、所有國際學生保險客戶、所有 Medibank 銀行客戶等。

該行也在聲明中指出,發現駭侵者有刻意刪除系統存取資料的行為,因此無法排除在客戶個資遭竊之外,還會發現更大損失的可能。

這波針對 Medibank 的駭侵攻擊活動,發生於 2022 年 10 月 12 日;Medibank 在隔天隨即發布資安通報,當時通報指出沒有資料遭竊的證據;不過數日後 Medibank 承認勒贖攻擊者與該行聯絡,並且展示竊自該行的 200GB 資料,該行進一步調查後才發現所有客戶資料全都遭到駭侵者竊走。

目前該行對外表示,仍持續進行調查,並與執法單位合作;對於受這起資料竊取事件影響的 Medibank 保險與銀行客戶,該公司提供財務支援,必須重新申請證件辦理的客戶,其一切費用亦由該行負擔。

此外,鑑於澳洲近日發生多起針對公私單位的駭侵攻擊活動,澳洲政府也準備提高個資保護相關罰則;未能保護客戶資料導致遭駭的罰金,將從目前的 222 萬澳元大幅提高到 5,000 萬澳元,或是所造成損失的三倍金額,或是該公司當年營收的 30%,三者取最大值予以裁罰。

鑑於各類個資竊取造成的損失愈來愈大,政府對這類資安管理失當的裁罰也日漸加重,握有客戶個資的公私單位應思考減少對於客戶個資的需求,同時加強各種資安防護能力,避免所保存的個資被竊而遭到重罰,以及對應的司法賠償與刑事責任。

回頁首