De cyberaanval op de Australische zorgverzekeraar Medibank, waar criminelen gevoelige gegevens van 9,7 miljoen mensen wisten te stelen, kost het bedrijf tussen de 25 miljoen en 35 miljoen dollar, zo heeft de verzekeraar tijdens de jaarlijkse algemene aandeelhoudersvergadering bekendgemaakt. Dit is nog exclusief de kosten die schadeclaims, boetes, verdere herstelwerkzaamheden en klanten met zich kunnen meebrengen.

Medibank werd begin oktober het doelwit van een ransomware-aanval. Dit deel van de aanval mislukte, aangezien er geen bestanden werd versleuteld. Zoals bij veel andere ransomware-aanvallen hadden de aanvallers voor het uitrollen van de ransomware allerlei gegevens van het netwerk gestolen. Ze dreigden deze data openbaar te maken tenzij Medibank het gevraagd losgeld zou betalen.

De zorgverzekeraar liet weten dat het dit niet zou doen, aangezien er geen garantie was dat de gegevens ook daadwerkelijk na betaling door de criminelen zouden worden vernietigd. Daarop begonnen de criminelen met het publiceren van gestolen medische dossiers. Het ging onder andere om dossiers waarin staat dat mensen zijn gediagnosticeerd of behandeld voor alcoholmisbruik, drugsverslaving en HIV.

Vervolgens werd begonnen met het openbaar maken van informatie over psychische klachten van klanten, alsmede andere aandoeningen, zoals hartklachten, diabetes, astma, kanker en dementie. Vanwege de cyberaanval besloot Medibank de financiële vooruitzichten voor volgend jaar in te trekken. In februari zal het bedrijf nu met een update komen.

Hoe de aanvallers toegang tot de systemen konden krijgen is nog altijd niet bekendgemaakt. Het datalek bij Medibank is het tweede grote gevoelige datalek waar Australië in korte tijd mee te maken krijgt. Daar wist een aanvaller, volgens de Australische overheid op kinderlijk eenvoudige wijze, de gegevens van zo'n tien miljoen Australiërs in handen te krijgen, zo'n veertig procent van de totale bevolking.