在澳大利亚信息专员就 2022 年的网络攻击事件向联邦法院提起诉讼后,医疗保险巨头 Medibank 将面临理论上高达数万亿美元的最高罚款。在医疗保险公司及其子公司 ahm 遭到黑客攻击后不久,一些客户数据被发布到了暗网上。
黑客故意将敏感的病人信息作为攻击目标,其中包括四名终止妊娠者的数据,以及更多 Medibank 预算品牌 ahm 客户的姓名、地址、出生日期、电话号码、电子邮件地址、医疗保险号码(但不包括有效期),在某些情况下还包括留学生客户的护照号码(但不包括有效期)。
Medibank 拒绝支付黑客索要的赎金,联邦政府称这符合官方建议。
该专员现在指控 Medibank"未能采取合理措施保护他们的个人信息",严重侵犯了 970 万澳大利亚人的隐私。
澳大利亚代理信息专员伊丽莎白-泰德(Elizabeth Tydd)在一份声明中说:"在暗网上发布个人信息使大量澳大利亚人可能受到严重伤害,包括潜在的精神痛苦以及身份盗窃、勒索和金融犯罪的重大风险。"
"我们指控,考虑到 Medibank 的规模、资源、所处理的敏感信息和个人信息的性质和数量,以及一旦发生泄密事件对个人造成严重伤害的风险,Medibank 没有采取合理措施保护其所持有的个人信息。我们认为 Medibank 的行为严重干扰了大量个人的隐私。"
巨额潜在罚款
专员随后对该公司提起诉讼,指控其滥用和未经授权访问或披露信息,违反了 1988 年《隐私法》。每项违规行为的最高处罚为 222 万美元。
该专员指控 970 万客户中的每个人都有违规行为,因此最高罚款额可能超过 21 万亿美元。联邦法院将决定是否处以罚款。
2022 年末对隐私法的修改将公司可获得的最高罚款额限制在 5000 万美元,但违规日期允许专员根据以前的规则起诉 Medibank。
Medibank 遭到的黑客攻击是澳大利亚消费者有史以来遭遇的最大黑客攻击之一,与 Optus 和 Latitude 遭到的黑客攻击同为头条新闻。
该集团 2023 财年上半年的税后净利润增长了 5.9%,达到 2.333 亿美元。其收入增长了 1.3%,达到 36.5 亿美元。
Medibank 在给澳大利亚证券交易所的一份声明中证实,它知道 OAIC 提起的法律诉讼,并表示"打算为诉讼辩护"。