Site icon 暗网里

澳大利亚医学检测公司Medlab终于通知客户几个月前泄露在暗网的数据

医学检测公司Medlab Pathology及其母公司澳大利亚临床实验室(Australian Clinical Labs)在政府警告客户数据在暗网上存在五个月后,才通知22.3万客户他们的个人信息已被曝光。

被曝光的数据包括17539条测试记录;近3万个信用卡详细信息,但有些已过期;一些驾驶执照和护照信息;以及12.8万人的医保卡信息。

Optus和Medibank在各自出现网络安全漏洞之后,都因其沟通方式而受到批评,但是,在他们意识到入侵之后,它们都会向客户反复发布更新信息。相比之下,Medlab在2月首次检测到黑客攻击的迹象,但一直等到10月才公开披露。

澳大利亚的企业和隐私监督机构都在审查这一事件,它们执行的规则要求及时披露黑客行为。网络安全政策专家Rachael Falk说,Medlab应该更快公开。

网络安全合作研究中心的首席执行官Falk说:“我的观点是,一旦你知道你有网络安全漏洞,并且属于《隐私法》的管辖范围,即使你不确定,也要披露。”

“披露和透明永远是最好的选择。”

虽然在2月份发现了泄露行为,但Medlab聘请的安全承包商没有发现黑客入侵客户数据的证据。该公司依靠该建议在3月份驳回了政府关于其是否受到潜在勒索软件攻击的问题。

6月,澳大利亚网络安全中心在暗网上发现了Medlab的客户数据,但该公司没有通知其客户,因为它正在分析“复杂且非结构化”的数据,以确定从哪些客户那里获取了哪些信息。该公司于周四开始联系客户。

Medlab在澳交所(ASX)上市的母公司澳大利亚临床实验室(Australian Clinical Labs)周四为其披露进行了辩护。

“鉴于正在调查的数据集的高度复杂和非结构化性质,到目前为止,法医分析师和专家一直在确定所涉及的个人及其信息的性质,”它在一份声明中说。受此消息影响,其股价下跌超过12%,但收盘时收低5.4%,至3.35美元。

澳大利亚临床实验室表示,它认为最大限度地减少对数据被盗的病人的伤害的最好方法是直接与他们联系,并提供有针对性的通知。

负责执行隐私法的澳大利亚信息专员办公室于7月10日被告知该漏洞,并正在初步调查Medlab是否遵守了要求公司及时报告数据泄露的法律。

“根据应通报的数据泄露计划,《隐私法》涵盖的组织必须尽快通知受影响的个人和[专员办公室],如果他们经历的数据泄露可能导致对涉及个人信息的个人造成严重伤害。”一位发言人说。

信息委员会此前曾表示,它“不认为量身定制的通知可以作为延迟通知受影响个人的理由”。监管机构的专员Angelene Falk今年早些时候强调,延迟告知受害者有关黑客入侵的事件都会使他们更难保护自己。

澳大利亚证券和投资委员会的一位女发言人说:“ASIC正在审查此事,并与[澳交所]密切合作,正如我们对所有披露事项所做的那样。”

澳大利亚临床实验室首席执行官梅琳达·麦格拉思(Melinda McGrath)(公司没有接受采访)发表了一份书面声明,为这一事件道歉。

“我们认识到这一事件可能给那些使用过Medlab服务的人带来的担忧和不便,并已采取措施来确定受影响的个人。”McGrath说,“我们正在向相关个人提供量身定制的通知。”

“我们想向所有相关人员保证,ACL致力于为他们提供一切合理的支持。”

该公司表示,迄今为止,它并未发现任何滥用信息或索要赎金的情况,并正在为有需要的客户提供免费的信用监控和文件更换服务。

澳大利亚网络安全中心拒绝置评,而管理医疗保险(Medicare)卡的澳大利亚服务局(Services Australia)的一位女发言人表示,它已于周四收到Medlab的数据,并正在确定其卡信息已被黑客窃取的客户。

“该机构将对Medlab提供的记录采取额外的安全措施,并将继续监控未经授权的活动,”该发言人说。

被曝光的医保卡可以免费更换,新号码可以通过Express Plus Medicare应用程序直接使用。

Exit mobile version