醫保基金公司Medibank數據大規模泄露后，澳緊急將罰款提高至5000萬

12月2日，據The Hacker News報道，黑客再次在暗網公布Medibank用戶敏感數據，這已經是黑客連續數次公布盜竊數據。作為澳大利亞最大的個人醫保基金公司，Medibank在10月遭遇重大勒索攻擊，970萬用戶敏感信息遭竊取。

在連續數起大規模勒索攻擊事件發生后，澳大利亞政府通過了一項法案，將對數據泄露公司的處罰提高到5000萬澳元。

這起發生在10月的勒索軟件事件“余韻悠長”，在Medibank拒絕支付高額勒索贖金后，黑客開始陸續在暗網公開用戶信息。

黑客最新披露的數據集以六個ZIP存檔文件的形式上傳，包括醫療保險賠付信息。但Medibank表示，大部分數據是零散的，與客戶姓名和聯系方式沒有關聯，被盜的個人數據本身不足以用來進行身份和財務欺詐。

The Hacker News表示，攻擊Medibank的組織疑似位于俄羅斯，且很可能與REvil勒索組織有關，該組織于今年5月卷土重來。

此次黑客再度公布信息，恰逢澳大利亞信息委員會辦公室（OAIC）宣布對Medibank的涉事數據處理實踐進行調查。

頻遭網絡攻擊，澳大利亞提高罰款額度

過去兩個月，澳大利亞的大型企業和關鍵基礎設施頻頻遭遇網絡攻擊，除了Medibank，澳大利亞第二大電信供應商澳都斯（Optus）也遭遇網絡攻擊，1000萬名客戶的賬戶受影響。零售公司伍爾沃斯（Woolworths）的打折購物網站也遭攻擊，數百萬客戶個人信息泄露。

路透社此前曾報道，澳大利亞政府11月4日發布的一份報告顯示，上個財年，澳大利亞境內的網絡攻擊數量激增，“平均每七分鐘一次”。

這些大型數據泄露事件促使澳大利亞政府通過新的法案。11月30日，澳大利亞政府通過了一項法案《2022年隱私立法修正案（執行和其他措施）法案》，顯著增加了對遭受嚴重數據泄露或反復數據泄露公司的處罰。

新法案規定，最高罰款從目前的222萬澳元提高到5000萬澳元，相當于一家實體企業在相關時期調整后營業額的30%，或者通過濫用信息獲利的三倍，以兩者中最高者為準。

司法部長馬克·德雷福斯（Mark Dreyfus）在一份聲明中表示：“最近幾個月發生的重大隱私泄露事件表明，現有的安全措施已經過時和不足。這些改革清楚地向企業表明，對重大數據泄露的懲罰不能再被視為經營成本。”