澳洲澳大利亚临床实验室被指控“坐视”黑客，将患者数据发布到暗网

在澳大利亚澳洲新闻



网络安全专家质疑为什么澳大利亚最大的病理学服务之一花了五个月的时间才告诉患者数据已被盗并发布到暗网。

澳大利亚临床实验室 (ACL) 昨天透露，它在八个月前的 2 月遭到网络攻击，从那时起，它发现 223,000 人的数据已被访问，其中一些数据已发布到暗网上。< /p>

这家公司——在其他服务中进行 COVID-19 测试——在 Medibank 的黑客危机全面曝光后一天，就向 ASX 公开了这一情况。< /p>

ACL 表示，该违规行为影响了其子公司 Medlab，最令人担忧的违规行为包括医疗和健康记录、信用卡号码和医疗保险号码的泄露。

表示早在3月份就接到了有关部门的通知，担心被蜜蜂感染了n 勒索软件事件的受害者，并且在 6 月，这些相关当局已告知，一些 Medlab 数据已出现在互联网的深处。

“他们”新南威尔士大学的理查德·巴克兰告诉 ABC 新闻。

“即使他们发现 [数据] 已被盗用，他们似乎已经过了几个月才真正告诉公众丢失了所有信息、信用卡详细信息等。 “这是最奇特的。”

Medlab 将自己描述为澳大利亚最大的私营独立病理学机构之一。其病理服务包括在新南威尔士州和昆士兰州的医学检测。

与 Medibank 泄露事件一样，此次违规事件令人担忧，不仅因为信用卡信息，还因为深现在可以公开的个人医疗保健数据。

ACL 有什么义务披露？

这家年收入近 10 亿美元的上市公司表示，它在 2 月份首次获悉这次攻击，但认为没有数据被盗。

“当时，外部法医专家没有发现任何证据表明信息已被泄露，”它在一份声明中说。

它说澳大利亚网络安全部门随后联系了它中心 (ACSC) 在 3 月份被告知当局已收到有关 Medlab 可能是勒索受害者的情报再次发生事件。

一名男子敲响莎拉父母的门，寻找性行为。然后事情变得更加疯狂

莎拉知道她的身份被黑的第一件事是当一个男人出现在她父母的家门口” 要求他在网上支付的性服务。

阅读更多

“该公司回应了信息请求并确认，据其所知，该公司确实做到了ACL 在其声明中表示，不相信任何数据已被泄露。

ACL 表示，随后 ACSC 在 6 月再次与它联系，并被告知它认为 Medlab 的一些信息是

巴克兰教授说，将数据发布到暗网，这是互联网的一个隐藏部分，表明它已被发布出售。

这很危险，他说，因为这可能导致身份盗用或犯罪分子冒充他人以他们的名义获取现金或实施犯罪。

"每一块f 关于你的信息可以与其他信息结合起来，以增加有人冒充你并窃取你身份的机会，”他说。

“而且，在这种情况下，信用卡号码和 CVV 号码允许他们冒充您并进行卡号和交易。这是直接成本。”

他强调，等待告诉客户意味着这些人现在才有机会更改他们的信用卡详细信息或其他身份识别信息

Buckland 教授说，ACL 知道暗网上的信息并不是大公司可以告诉其客户的第一个机会，而是第三个机会。

“作为一家公司，你有一种道德责任，一种道德责任，尤其是负责处理医疗记录和照顾我们健康的公司。”

在其声明中周四，ACL 表示它一直在分析从暗网下载的数据，以确定它属于谁，以便告诉他们。

“ACL 立即采取措施查找和下载这个来自暗网的高度复杂和非结构化的数据集，并努力将其永久删除，”该公司在一份声明中表示。

“这个非常详细和冗长的过程花费了大量时间外部数据分析专家团队需要几个月的时间才能完成，这对于确保我们不会对 Medlab 客户造成过度的恐慌和担忧是必要的。

“这就是我们直到现在才能够通知相关个人的原因。”

ABC新闻就其所坐的指控联系了该公司数据泄露，它否认了。

ACL 有什么法律义务披露？

< p class="_1g_Rg">根据隐私法，营业额超过 300 万澳元的公司——特别是包括病理学实验室在内的医疗保健公司——需要将数据泄露通知澳大利亚信息专员办公室 (OAIC)是“可能造成严重伤害”。

OAIC 向 ABC 新闻证实，ACL 的子公司 Medlab 符合该定义，该公司的网站还指出，它必须遵守隐私行动。

ACL 向 ABC 新闻证实，它已在 7 月初通知 OAIC 数据泄露事件。也就是说，在被告知数据在暗网上后不久。

“OAIC 正在与 Medlab 进行初步调查，以确保符合可通报数据泄露 (NDB) 的要求计划，”OAIC 在给 ABC 新闻的一份声明中说。

另一位网络安全专家，新南威尔士大学的 Lyria Bennett Moses 教授告诉 ABC 新闻，《隐私法》的问题在于，因为它确实如此，它没有具体说明究竟是什么构成了会导致“严重伤害”的泄漏。

“信息披露造成的伤害通常对个人双方都非常个人化，并且是由特定因素造成的对于那些组织通常不知道的个人，”她说。

教授 Bennett Moses 举了一个家庭暴力受害者的例子，出于安全原因，他住在施虐者不知道的地方。

Bennett Moses 教授说：“该人的地址的泄露可能会导致严重的伤害，而组织不一定会自行得出结论。”

“这是组织这使得对严重伤害的评估，但他们并不是真正处于这样做的最佳位置。”

联邦总检察长马克·德雷福斯（Mark Dreyfus）已表示他将寻求明年对隐私法进行全面改革，两位专家都认为这是非常需要的。

教授 Bennett Moses 说，澄清该法案对严重伤害的含义是一个应该解决的领域。

“我几乎希望它的框架颠倒过来，”她说，并补充说这意味着公司必须证明没有造成任何伤害才能不报告。

< h3 class="_1EAJU hMmqO MaLKt NHr4j _316gH _1zBDU _1BqKa _2AH39 _3HiTE x9R1x pDrMR hmFfs _390V1" data-component="CardHeading">批评者说需要采取更多措施来阻止下一次 Optus 或 Medibank 类型的数据泄露

一项对严重或反复侵犯隐私的行为大幅增加处罚的提议受到欢迎，但不足以阻止像 Optus 和 Medibank 这样的事件，隐私批评者警告。

阅读更多

周四，Dreyfus 先生还向议会提交了一项法案，以修改该法案的部分内容，直到完整大修完成，要顶起来对未充分保护数据或报告违规行为的公司处以 220 万至 5000 万美元的罚款。

“政府、企业和其他组织有义务保护澳大利亚人的个人数据，而不是将其视为商业资产，”德雷福斯先生在议会介绍该法案时说。

更高的罚款不会追溯，因此最近的头条新闻都没有如果发现这些大公司不合规，包括 Optus、Medibank 或 ACL 在内的违规行为将被处以更高的罚款。

Buckland 教授说，根据他的经验，公司经常在遭到黑客攻击时向犯罪实体支付赎金，并且没有披露违规行为。

“[公司]不想谈论它，”他说。

"支付赎金通常不仅是为了保护客户数据，也是为了保护机构的声誉和股价

“与其保护和隐藏问题，不如[更好地]将它们暴露在阳光下并实际采取措施解决它们。”

巴克兰教授说，他希望在董事会和首席执行官层面对不合规公司进行更严厉的处罚，更好地保护数据并明确数据可以保存多长时间，并让政府更好地保护也收集了数据。

“我希望看到措辞从说何时必须保留数据变为禁止保留数据，并要求人们[谁]收集数据然后将其删除 [当不再需要时]。”

其他网络专家告诉 ABC，措施可能包括赋予 OAIC 调查违反隐私法的权力，以及应用罚款。

要应用罚款，监管机构必须向联邦法院提出申请。到目前为止，这种情况只发生过一次，当时 OAIC 就剑桥分析公司丑闻对 Facebook 发起了诉讼。

ACL 拒绝接受采访，但在一份声明中，首席执行官梅琳达·麦格拉思 (Melinda McGrath)昨天“代表 Medlab”道歉。

“我们代表 Medlab，对发生此事件表示诚挚的歉意，并深表遗憾，”她说。

“我们认识到这一事件可能会导致使用 M​​edlab 服务并已采取措施识别受影响个人的人的担忧和不便。”

ACL 表示将于周四开始联系受影响的人，Medlab 客户应在未来几周内监控他们的电子邮件和邮件。

它还设立了一条危机热线，供人们一旦他们收到他们受到影响的确认，就打电话给他们。该号码是 1800 433 980。

正在加载表单...
澳洲中文论坛热点