紧急！澳洲Medibank用户注意，今晨开始，大量隐私文件被黑客发到暗网！近千万用户受影响！

本文转载自：最西澳

本周一，澳洲最大的健康保险公司Medibank透露，10月有970万用户的姓名、出生日期、地址、电话号码和电子邮件地址泄露。

信息开始暴露

周二凌晨，黑客组织在其博客上发出警告，称将在24小时内公布这些数据，除非Medibank支付赎金。当时，Medibank的回应是：为了避免黑客组织进一步的犯罪，不会支付赎金。

周一上午，Medibank首席执行官David Koczkar就发表声明称，尽管970万用户的个人信息泄露，但该公司不会向黑客支付赎金。

“根据我们从专家那里得到的建议，支付赎金也不大可能阻止黑客公布用户信息，甚至还有可能鼓励他们敲诈用户，让他们去窃取更多信息。因此我们决定不支付赎金。”

结果，今天凌晨2点左右，犯罪组织竟真的开始公布窃取来的客户数据！

据悉，数百人的名字、地址、生日和医疗保险细节被贴在该黑客组织博客的“Good-list（优秀名单）”和“naughty-list（淘气名单）”上。

今天上午，Medibank证实了黑客泄露的确实是Medibank客户的信息，并发表了声明：

“罪犯已经在一个暗网论坛上发布了一些从Medibank系统中窃取的文件，包括姓名、住址、出生日期、电话号码、电子邮件、Medibank的品牌ahm客户的医疗保险号码以及一些健康索赔数据。”

Medibank预计，黑客组织将继续在暗网上发布文件。

“根据内部分析，我们将持续告知被窃取信息的用户和信息被暴露在暗网上的用户，并为他们提供行动建议。”

透露第一批数据后，黑客组织还表示，“我们将继续发布部分数据。因数据转存处理有点麻烦，需要一些时间。”

在今天上午的新闻发布会上，Koczkar为最新的事态发展道歉，抨击黑客组织的犯罪行为给Medibank用户带来了痛苦。

“我们会认真承担保护客户的责任，随时支持客户。”

保持高度警惕

据悉，澳总理阿尔巴尼斯也是Medibank的一名客户。他也参加了今天上午的新闻发布会并发言。

“我理解人们现在担忧焦急的心情，担心一些被窃的信息已经被公布出来。但Medibank已经在走程序解决问题了，我建议人们在受威胁时不要给赎金，否则会让黑客组织更猖狂。”

UNSW网络安全研究所主任Nigel Phair表示，犯罪分子的最终目的是从这些数据中捞钱，因此不太可能公开他们窃取的所有信息。

“这次事件可能只是对Medibank的一次性勒索，黑客利用这些数据进行欺诈后就收手了。”Phair分析道。

“也可能是该黑客组织向其他黑客组织发出的一个信号。该事件表明他们确实能搞到真的隐私数据，让他们在向其他黑客组织批量贩售这些数据时显得更可靠。”

内政部长Clare O’Neil则猛烈抨击了那些开始泄露Medibank客户数据的黑客，称他们是“卑鄙小人”“十分可耻”。

她还敦促社交媒体用户不要转发这些暴露在网上的隐私信息，否则便是助纣为虐，让黑客组织更猖狂。

她表示，Medibank不向黑客组织支付赎金的决定“符合政府的建议”。

Clare O’Neil

“我们敦促那些可能受到影响的人保持高度警惕，因为网络罪犯试图勒索个人的个人信息。不要认为任何联系你的人都可以访问你的数据，或者支付赎金会保护你的数据隐私。”

“为了捞钱，网络罪犯通常会承诺采取行动。但进一步迫害的情况也很常见。”

“澳洲政府正在与Medibank密切合作，提供一切可能的支持以帮助解决问题。Medibank也正在接受澳洲政府机构的技术咨询和援助。”

Medibank再次建议客户保持高度警惕，谨防通过电话或电子邮件进行的任何网络钓鱼诈骗。若有可疑情况立即报告给澳洲网络安全中心网站或ScamWatch。

“若有困扰，Medibank普通客户和国际客户请拨打132331；ahm客户请拨打13 42 46；My Home Hospital的病人请拨打1800081245。”

影响逐渐显现

近期，包括Optus在内的多家大型企业被黑客袭击，用户个人信息被盗，令澳人不堪其扰。

Sarah（化名）便是数据泄露事件的受害者之一。当她看到自己的驾照照片在谷歌上可供任何人使用，她感到了前所未有的震惊和压力。

“我的压力非常大，不知道会带来什么样的后果，不知道自己会因此失去什么，也不知道自己是否会有经济损失或风险。”

Optus遭到网络攻击后，近千万用户的个人信息泄露，一些被放到网上。9月24日至10月6日期间，Dennis Su从网上获取了已泄露的用户信息，企图敲诈。

10月6日，新州警方在悉尼Rockdale的一处住宅里逮捕了Dennis Su。

据悉，Dennis Su向93名Optus用户发送了信息，要求他们支付2000澳元，否则将进一步公布他们的个人信息。所幸93人都没有付钱。

尽管未得逞，Dennis Su仍被控使用电信网络意图实施严重犯罪，以及非法使用他人身份信息，这两项指控的最高刑期分别为10年和7年。Dennis Su已认罪。

自黑客事件发生以来，Medibank的市值已损失逾10亿澳元，周二其股价收于2.78澳元，略低于两年来的低点。

客户信息被暴露在网上的最新进展可能引起本周的一起集体诉讼，给Medibank造成更多损失，但效应目前还未显现。今天上午，Medibank的股价甚至还上涨2%，至2.84澳元。

执法正在进行

周二，澳洲联邦警察局（AFP）局长Reece Kershaw表示，联邦调查局正在协助AFP调查Medibank和Optus数据泄露事件的幕后黑手。

“调查将漫长而复杂，但我们必须尽快、高效地行动。相关机构沟通协调的时间越长，就越难查到和打击犯罪分子。”

“警方已经加强了对‘卫士行动’的监控力度，全力保护信息被暴露的Medibank客户。”

“企业如果怀疑可能存在数据泄露情况，一定要尽早联系当局。”

AFP网络司令部助理专员Justine Gough表示，她的团队正在极力找到网上Medibank客户被泄露的数据，将利用所有资源阻碍非法获得的数据的销售和传播。

“如果有人通过网络、电话或短信威胁你，说除非付款否则将公布你的数据，请马上报告给警方。”

Gough警告，勒索是一种犯罪行为，滥用被盗个人信息获取经济利益的人将面临最高10年的监禁。下载或访问被窃取的数据也可能构成刑事犯罪，即使没有把这些数据用于其他犯罪。

澳洲政府则计划出台新法，重罚那些违反《隐私法》的企业。如果某家企业多次发生用户信息泄露事件，将被处以5000万澳元的巨额罚款。

值得一提的是，联邦政府可能会根据公司的规模以及被盗信息的价值，加重处罚力度。

近两年来，澳人们已博弈过太多：和山火，和疫情，和通胀……如今，又得和黑客们斗智斗勇，在赎金的交付和信息的安全间艰难抉择。但愿我们所经历过的，都能给我们以启示和教训，让澳洲在一次次变革中变得更好……

素材来源：watoday、abc