Október végén vált nyilvánvalóvá, hogy zsarolóvírusos támadás áldozata lett Ausztrália legnagyobb magán egészségbiztosítója, a Medibank. Bár az akkor nyilvánosságra hozott információk szerint is igen súlyosnak tűnő esetről volt szó, a támadással kapcsolatban azóta megjelent részletek alapján, illetve az ellopott személyes adatok egy részének szerdai nyilvánosságra hozatalát követően az incidens globálisan is az egyik legkomolyabb következményekkel járó kiberbiztonsági üggyé avanzsált.

Gyorsan eszkalálódott

Az egyelőre ismeretlen bűnözői csoport a hírhedt orosz hekkercsapat, a REvil kártevőjének egyik változatára támaszkodott a sikeres akciója során. A betöréssel kapcsolatban elsőként október 12-én tájékoztatta a nyilvánosságot a Medibank vezérigazgatója. David Koczkar akkor azonban még csak azt mondta, hogy "szokatlan tevékenységet" észleltek, amely akár zsarolóvírusos támadási kísérletre is utalhat. Ezzel párhuzamosan mindenkit megnyugtatott, hogy az érzékeny ügyféladatok nincsenek veszélyben.

A vállalat aztán később kénytelen volt bejelenteni, hogy hekkerek egy csoportja kapcsolatba lépett velük, és azt állítják, hogy 200 gigabájtnyi ügyféladatot loptak el. Ennek alátámasztására a cég mintát is kapott ügyfélbiztosításokból, amelyekben többek között nevek, címek, születési dátumok, társadalombiztosítási számok, telefonszámok és érzékeny orvosi adatok szerepeltek. Október 23-ára pedig világossá vált, hogy a támadóknak tényleg lehetőségük volt a Medibank teljes ügyfélállományának eltulajdonítására.

Senki nem rántja félre a kormányt

Az azóta magukról többször hírt adó elkövetők saját állításuk szerint érintett ügyfelenként mindössze 1 amerikai dollárért, azaz összesen 9,7 millióért hajlandók titokban tartani a kényes adatcsomagot. Az egézségbiztosító viszont közölte, nem fizet a zsarolóknak, mert úgy látják, ha ki is fizetnék a váltságdíjat, az elkövetők minden bizonnyal akkor sem szolgáltatának vissza az adatokat, mint ahogy azok közzétételének veszélye sem múlna el.

Válaszul a hekkerek tegnap elkezdték nyilvánossára hozni a megszerzett információkat. Az első (és vélhetően nem utolsó) csomagot ráadásul jó és rossz listára osztották, ahol az utóbbi csoportba a hírek szerint olyan emberek kerültek, akiket például drogfüggőség és alkoholproblémák miatt kezeltek.

A TechCrunch beszámolója szerint a publikált anyag a Medibank vezérigazgatója és az elkövetők közötti üzenetváltásokat is tartalmazza. A WhatsApp-üzenetekről készült képernyőfotók arra utalnak, hogy a zsarolóvíruscsoport "a hitelkártyák dekódolásához szükséges kulcsok" kiszivárogtatását is tervezi, annak ellenére, hogy a Medibank állítása szerint nem jutottak hozzá banki vagy hitelkártyaadatokhoz.

Hírek szerint a kiszivárgott listákon megtalálhatók a Medibank olyan kiemelt ügyfeleinek neve is, mint például Anthony Albanese miniszterelnök és Clare O'Neil kiberbiztonsági miniszter.

Most már ezt is nyomozhatják

Az eset már csak azért is különösen kínos, mivel Ausztráliában még el sem csendesedtek a kedélyek azzal a szeptemberi üggyel kapcsolatban, amelynek során az ország második legnagyobb telekommunikációs vállalatnák rendszeréből szintén több millió ügyfél személyes adatához fértek hozzá kiberbűnözők. Ahogy a Medibank esetében, úgy az Optusnál sem ment tökéletesen az incidens válságkommunikációja, ami értelemszerűen jelentős politikai vihart is kavart. 

A szeptemberi ügy hatására született az a törvényjavaslat is, amelyet épp tegnap fogadtak el az ausztrál törvényhozásban. Eszerint az adatvédelmi szabályok megsértésekor a súlyos vagy ismételt jogsértések esetében a korábbi 2,22 millió dollárról 50 millióra emeli a maximális összegszerű büntetési tételt. Ám ez lehet több is: amennyiben az adatokkal való visszaélésből származó előny értékének háromszorosára, vagy az érintett vállalat adott időszakban elért korrigált forgalmának 30 százaléka ennél magasabb lenne, akkor utóbbi lesz a mérvadó a bírság kiszabásánál.