Criminelen zijn erin geslaagd om bij de Australische zorgverzekeraar Medibank allerlei gevoelige gegevens van klanten te stelen, waaronder informatie over diagnoses en behandelingen. Dat heeft het bedrijf vandaag bekendgemaakt. Vorige week liet Medibank weten dat het "ongewone activiteit" op het netwerk had ontdekt. Bij het "cyberincident" zouden echter geen gegevens van klanten zijn buitgemaakt.

Wel zag de zorgverzekeraar zich genoodzaakt om verschillende systemen offline te halen, waardoor klanten bijvoorbeeld geen informatie over hun polis konden opvragen. Een aantal dagen later werd bekend dat het om een ransomware-aanval ging, maar dat het de aanvallers niet was gelukt om systemen van Medibank daadwerkelijk te versleutelen.

Gisteren meldde Medibank dat het was benaderd door de aanvallers, die claimden klantgegevens in bezit te hebben. Het zou om tweehonderd gigabyte aan data gaan. Als bewijs hebben de aanvallers informatie over honderd polishouders gedeeld, zo laat de verzekeraar vandaag weten. Het gaat om namen, adresgegevens, geboortedata, zorgverzekeringsnummer, polisnummer, telefoonnummers en gegevens over declaraties, zoals de locatie waar een klant medische zorg heeft ontvangen en codes met betrekking tot de diagnoses en behandeling.

Medibank bevestigt dat die gegevens bij het bedrijf zijn gestolen. De aanvallers claimen ook creditcardgegevens in bezit te hebben, maar dat is nog niet bevestigd. Hoe de aanvallers toegang tot de systemen konden krijgen is nog niet bekendgemaakt. Medibank zegt dat het de honderd klanten van wie vaststaat dat hun gegevens zijn gestolen zal informeren.