Giá cổ phiếu Medibank lao dốc, thông tin "nhạy cảm" về y tế của bốn triệu khách hàng bị tiết lộ

Thứ năm, 27/10/22, 17:24 Australia/Sydney

Medibank. Ảnh: AAP

Cuộc khủng hoảng tin tặc tấn công dữ liệu công ty bảo hiểm sức khỏe lớn nhất của Úc ngày càng nghiêm trọng, Medibank hiện thừa nhận tin tặc đã truy cập thông tin cá nhân của hơn bốn triệu khách hàng, khiến giá cổ phiếu của công ty giảm mạnh.

Medibank đang kinh doanh trong lĩnh vực chi trả các chi phí y tế do bệnh tật không lường trước được, nhưng họ lại không tiên đoán được khủng hoảng xảy ra với mình.

Công ty bảo hiểm sức khỏe, vốn không có chính sách riêng chống tội phạm mạng, hôm thứ Tư [26 tháng 10] đã xác nhận trong một cuộc họp rằng tiên đoán về vụ tấn công dữ liệu ngày 12 tháng 10 tồi tệ hơn ước tính ban đầu.

Giám đốc điều hành của Medibank, David Koczkar cho biết đây là hình thức tội phạm được lên kế hoạch để gây tổn hại tối đa cho những thành viên dễ bị tổn thương nhất trong cộng đồng.

Ông David Koczkar nói "Như đã thông báo trước đó, chúng tôi có bằng chứng cho thấy tội phạm đã lấy đi một số dữ liệu về sức khỏe và thông tin cá nhân của khách hàng."

“Hiện nay, có khả năng tội phạm đã đánh cắp thêm dữ liệu xin bồi hoàn các tình trạng sức khỏe cá nhân. Do đó, chúng tôi ước đoán rằng con số khách hàng bị ảnh hưởng có thể lớn hơn ước tính rất nhiều. Đây là một tội ác khủng khiếp.”

Những thông tin bị đánh cắp là dữ liệu cá nhân của tất cả các khách hàng Medibank và một lượng đáng kể dữ liệu tiết lộ các thủ tục và chẩn đoán y tế.

Thương hiệu chính của Medibank cũng như chi nhánh trực tuyến rẻ hơn AHM và khách hàng là sinh viên quốc tế, cả trong quá khứ và hiện tại, đều bị ảnh hưởng.

Tin tức này đã khiến giá cổ phiếu của công ty giảm mạnh, giảm hơn 15%, vào ngày 26 tháng 10, sau khi kết thúc giao dịch kéo dài một tuần.

Medibank đã đặt chi phí quản lý thảm họa lên tới 35 triệu đô-la cho những thứ như bảo vệ thông tin cá nhân khách hàng và đầu tư công nghệ, nhưng số tiền này không bao gồm các chi phí liên quan đến pháp lý hoặc kiện tụng tiềm ẩn.

Công ty hiện từ chối cho biết liệu công ty có bị tin tặc đòi tiền chuộc hoặc giải thích bằng cách nào mà tin tặc đã truy cập được vào hệ thống bảo mật.

Medibank chỉ nhận ra dữ liệu đã bị lấy cắp sau khi tin tặc cung cấp một mẫu thông tin.

Một bức thư Medibank gửi khách hàng. Credit: Tracy Lo

Nhưng John Goodall, giám đốc điều hành nhóm công nghệ và vận hành của Medibank, nói rằng ông tin rằng tin tặc không còn nằm trong hệ thống của mình nữa.

"Các công cụ mà chúng tôi đã triển khai, về cơ bản được thiết lập để ngăn chặn sự xâm nhập vào hệ thống, ngăn chặn hoạt động độc hại vào hệ thống.

Và tất cả các phản hồi mà chúng tôi nhận được từ quan sát của mình trên hệ thống giám sát của chúng tôi cho biết rằng cuộc tấn công không hiện không còn trong hệ thống của chúng tôi nữa."

Chính phủ Liên bang sẽ đưa ra luật mới trong tuần này để tăng mạnh hình phạt đối với các công ty không bảo vệ đúng cách các dữ liệu nhạy cảm của khách hàng.

Giáo sư Sanjay Jha là giáo sư và nhà khoa học chính tại Viện An ninh mạng Đại học New South Wales.

Ông nói không ngạc nhiên về các cuộc tấn công mạng nhưng cần phải có các biện pháp cứng rắn hơn và giúp các công ty cũng như công chúng nhận thức rõ hơn về an ninh mạng.

Ông nói “Chắc chắn những hình phạt khắc nghiệt hơn sẽ thúc đẩy họ có những cơ chế tốt hơn, nhưng cũng giống như bất kỳ vụ tấn công dữ liệu nào, chúng đã làm giảm niềm tin của công chúng và các doanh nghiệp sẽ bị tổn hại nếu họ không bảo vệ dữ liệu khách hàng một cách cẩn thận.”

Giáo sư Jha nói rằng cần phải có một nỗ lực chung của công chúng, ngành công nghiệp và chính phủ để thách thức các cuộc tấn công mạng.

"Nó sẽ không sớm biến mất vì kẻ xấu chắc chắn sẽ tiếp tục tấn công và đây là bản chất của công nghệ, những thứ mới đang được triển khai có thể để lại những lỗ hổng nhất định nhưng chúng ta phải làm việc hiệu quả hơn."

Medibank tạm dừng việc tăng phí bảo hiểm cho đến giữa tháng Giêng cho khách hàng.

Tuy nhiên rõ ràng trong vụ này, khách hàng vẫn là người chịu thiệt.