'เมดิแบงก์' ลั่นไม่จ่ายค่าไถ่กรณีข้อมูลลูกค้า 9.5 ล้านคนถูกแฮก

ซีอีโอ บ.ประกัน ‘เมดิแบงก’ ลั่นไม่จ่ายค่าไถ่กรณีถูกแฮกข้อมูลลูกค้าครั้งใหญ่ ชี้ลูกค้าเสี่ยงไม่ปลอดภัยมากกว่าเดิม รัฐบาลยื่นชงกฎหมายเพิ่มโทษเข้มงวดกิจการหละหลวมความปลอดภัยไซเบอร์

The Medibank hack follows a major data breach at Optus.

เมดิแบงก์ระบุว่า จะไม่จ่ายค่าไถ่ที่ถูกเรียกเก็บจากการโจมตีทางไซเบอร์ที่เกิดขึ้นกับกิจการของบริษัทเมื่อเดือนตุลาคมที่ผ่านมา ซึ่งได้เปิดเผยข้อมูลส่วนตัวทั้งของลูกค้าปัจจุบันและลูกค้าเก่าประมาณ 9.7 ล้านราย

เดวิด คอซการ์ (David Koczkar) ประธานบริหารของเมดิแบงก์ กล่าวในวันนี้ว่า “มีโอกาสน้อย” ที่การจ่ายค่าไถ่จะทำให้แฮกเกอร์นำข้อมูลลูกค้าที่ถูกขโมยไปกลับคืนมา หรือจะป้องกันไม่ให้ข้อมูลเหล่านั้นถูกเผยแพร่

“อันที่จริงแล้ว การจ่าย (ค่าไถ่) อาจทำให้เกิดผลตรงกันข้าม และจูงใจให้แฮกเกอร์ขมขู่ลูกค้าของเราโดยตรง และมีโอกาสสูงที่การจ่ายจะทำให้ผู้คนตกอยู่ในอันตรายมากขึ้น โดยการทำให้ออสเตรเลียเป็นเป้าหมายขนาดใหญ่” คุณคอซการ์ กล่าวในแถลงการณ์

“ด้วยเหตุเหล่านี้ เราได้ตัดสินใจว่าเราจะไม่จ่ายค่าไถ่ให้กับเหตุการณ์ครั้งนี้”

ใครได้รับผลกระทบ และข้อมูลอะไรถูกเปิดเผยบ้าง

บริษัทประกันเอกชนรายดังกล่าวระบุว่า ข้อมูลที่ถูกเปิดเผยในการโจมตีทางไซเบอร์ในครั้งนี้ ได้แก่

ข้อมูลส่วนตัวของลูกค้าปัจจุบันเมดิแบงก์ราว 5.1 ล้านราย
ข้อมูลส่วนตัวของลูกค้า ahm 2.8 ล้านราย
ข้อมูลลูกค้าต่างชาติ 1.8 ล้านราย
และข้อมูลบางของตัวแทนที่ได้รับมอบอำนาจ

ข้อมูลชื่อ วันเกิด ที่อยู่ หมายเลขโทรศัพท์ และอีเมล ทั้งของลูกค้าปัจจุบันและอดีตลูกค้า ถูกแฮกเกอร์เข้าถึงแล้วทั้งหมด ขณะที่หมายเลขเมดิแคร์ของลูกค้า ahm และหมายเลขพาสปอร์ตของลูกค้าที่เป็นนักศึกษาต่างชาติยังถูกเปิดเผยอีกด้วย

นอกจากนี้ ยังมีข้อมูลที่ถูกแฮกเกอร์เข้าถึงได้อีกอย่างหนึ่งคือ ข้อมูลการเคลมประกันสุขภาพของลูกค้าเมดิแบงก์ราว 160,000 คน ของลูกค้า ahm 300,000 คน และของลูกค้าต่างชาติอีก 20,000 คน

อ่านเพิ่มเติม

ห่วงเหตุออปตัสข้อมูลรั่วใช่ไหม จะป้องกันอย่างไรไม่ให้ถูกหลอกและโดนแฮก

ข้อมูลส่วนตัวและข้อมูลเคลมประกันสุขภาพบางส่วนจากผู้ป่วยใน My Home Hospital (MHH) ประมาณ 5,200 คนถูกเปิดเผยเช่นกัน เช่นเดียวกับข้อมูลญาติผู้ใกล้ชิดผู้ป่วยเหล่านั้นราว 2,900 คน

ข้อมูลที่ถูกขโมยไปโดยแฮกเกอร์นั้นไม่ได้รวมถึงเอกสารระบุตัวตนชุดหลัก เช่น ใบขับขี่สำหรับลูกค้าเมดิแบงก์หรือลูกค้า ahm หรือข้อมูลบัตรเครดิตและข้อมูลธนาคารใด ๆ

เกิดอะไรขึ้นกับข้อมูลนั้น

เมดิแบงก์ได้เตือนลูกค้า

ให้ระมัดระวังการสื่อสารและธุรกรรมทางออนไลน์ทั้งหมด

เนื่องจากแฮกเกอร์อาจเผยแพร่ข้อมูลส่วนบุคคลของพวกเขา หรือพยายามติดต่อพวกเขาโดยตรง

“เราแสดงความรับผิดชอบของเราอย่างจริงจังในการปกป้องลูกค้าให้ปลอดภัย การใช้ข้อมูลส่วนตัวของพวกเขาเป็นอาวุธเพื่อพยายามกรรโชกทรัพย์นั้นเป็นการประสงค์ร้าย และมันคือการโจมตีที่เกิดขึ้นกับสมาชิกในชุมชนของเราที่เปราะบางที่สุด” คุณคอซการ์ กล่าว

อ่านเพิ่มเติม

เมดิแบงก์ถูกโจมตีทางไซเบอร์ กระทบข้อมูลลูกค้าทั้งหมด

คุณคอซ์การ์ กล่าวอีกว่า เมดิแบงก์ ซึ่งทำงานอย่างต่อเนื่องกับรัฐบาลสหพันธรัฐ ศูนย์ความปลอดภัยทางไซเบอร์ออสเตรเลีย (Australian Cyber Security Centre) และตำรวจสหพันธรัฐออสเตรเลีย (Australian Federal Police) จะมอบหมายให้มีการตรวจสอบจากภายนอก เพื่อถอดบทเรียนและเสริมความแข็งแกร่งให้กับแนวป้องกันทางดิจิทัล

“เราจะยังคงสนับสนุนให้ทุกคนที่ได้รับผลกระทบจากอาชญากรรมครั้งนี้ผ่านโครงการสนับสนุนการตอบสนองทางไซเบอร์ของเรา (Cyber Response Support Program) สิ่งนี้รวมถึงการสนับสนุนด้านสุขภาพจิตและความเป็นอยู่ที่ดี การปกป้องอัตลักษณ์บุคคล และมาตรการด้านความเดือนร้อนทางการเงิน” นายคอซการ์กล่าว

รัฐบาลกำลังทำอะไรบ้างเพื่อช่วยเหลือ

การโจมตีทางไซเบอร์ที่เกิดกับเมดิแบงก์ เกิดขึ้นเพียงไม่กี่สัปดาห์หลังจากที่ออปตัส (Optus) ผู้ให้บริการโทรคมนาคม เปิดเผยว่าได้ตกเป็นเหยื่อการโจมตีทางไซเบอร์ และมีลูกค้าที่ได้รับผลกระทบหลายล้านคน

โดยเมื่อเร็ว ๆ นี้ ยังเกิดการโจมตีทางไซเบอร์ใน

บริษัทอสังหาริมทรัพย์ฮาคอร์ตส์ (Harcourts)

รัฐบาลรัฐวิกตอเรีย

และเว็บไซต์ชอปปิงออนไลน์

มายดีล (MyDeal)

“นี่คือโลกใหม่ที่เราอาศัยอยู่ เรากำลังจะอยู่ภายใต้การโจมตีทางไซเบอร์อย่างไม่หยุดหย่อนตั้งแต่นี้ต่อไป” แคลร์ โอนีล (Clare O’Neil) รัฐมนนตรีความปลอดภัยทางไซเบอร์ออสเตรเลีย กล่าวทางวิทยุเอบีซี เมื่อเดือนที่ผ่านมา

“เราจะต้องทำให้ดีกว่านี้มากในฐานะประเทศ เพื่อทำให้แน่ใจว่าเราทำทุกอย่างที่เราทำได้ภายในองค์กรต่าง ๆ เพื่อปกป้องข้อมูลของลูกค้า เช่นเดียวกับพลเมืองในการทำทุกสิ่งที่พวกเขาทำได้”

เมื่อเดือนที่ผ่านมา รัฐบาลสหพันธรัฐประกาศว่า บริษัทใดก็ตามที่ได้รับผลกระทบจากการละเมิดความเป็นส่วนตัวอย่างรุนแรงหรือเกิดขึ้นซ้ำ จะต้องพบกับ

บทลงโทษที่หนักขึ้น

“รัฐบาล ธุรกิจต่าง ๆ และองค์กรอื่น ๆ มีข้อผูกมัดในการปกป้องข้อมูลส่วนบุคคลของชาวออสเตรเลีย ไม่ใช่ปฏิบัติกับมันเหมือนกับสินทรัพย์ทางพาณิชย์ กฎหมายจะต้องสะท้อนสิ่งนี้” มาร์ค เดรย์ฟัส (Mark Dreyfus) อัยการสูงสุด กล่าวระหว่างการเสนอร่างกฎหมายดังกล่าวต่อรัฐสภา

“บทลงโทษสำหรับการละเมิดความเป็นส่วนตัว ไม่อาจถูกมองได้ว่าเป็นเพียงค่าใช้จ่ายในการดำเนินธุรกิจ”

“หน่วยงานต่าง ๆ จะต้องกระตุ้นให้มีความปลอดภัยทางไซเบอร์ และการปกป้องความปลอดภัยของข้อมูล เพื่อปกป้องชาวออสเตรเลีย”

ทั้งนี้ การพิจารณาประมวลกฎหมายความเป็นส่วนตัว (Privacy Act) จะมีกำหนดแล้วเสร็จภายในสิ้นปีนี้ โดยจะมีการยื่นข้อเสนอแนะเพื่อการปฏิรูปเพิ่มเติมในอนาคต

คุณสามารถติดตามข่าวสารล่าสุดจากออสเตรเลียและทั่วโลกเป็นภาษาไทยจากเอสบีเอส ไทย ได้ที่เว็บไซต์

sbs.com.au/thai

บันทึกเว็บไซต์ของเราเก็บไว้ในบุ๊กมาร์ก เพื่อไม่ให้คุณพลาดสถานการณ์ล่าสุด หรือติดตามเราทางเฟซบุ๊กที่

facebook.com/sbsthai