Medibank Private, l’un des principaux assureurs privés de santé en Australie, a appelé ses clients à la « vigilance » après cette menace, émise un jour après qu’il a exclu de payer une demande de rançon.
La société a révélé lundi qu’une cyberattaque, dont on pensait initialement qu’elle avait concerné les données de 3,9 millions de personnes, avait en fait donné accès aux noms, dates de naissance, adresses, numéros de téléphone et courriels d’environ 9,7 millions de clients actuels ou passés. Quelque 1,8 million de clients internationaux sont concernés.
Mardi, un internaute anonyme a affirmé sur un blog de piratage que « les données (seraient) publiées dans 24 heures », un message largement repris par les médias locaux.
« Nous savions que la publication de données en ligne par le criminel pouvait être une possibilité, mais la menace du criminel reste un élément inquiétant pour nos clients », a déclaré David Koczkar, directeur général de Medibank.
Le hacker pourrait également tenter de contacter directement les clients, a prévenu la société.
« Toutes les données clients consultées ont pu être prises par le criminel », a fait savoir lundi la société dans un communiqué.
Les données comprennent des demandes de remboursement de soins de santé ainsi que des codes relatifs aux diagnostics et procédures médicales.
Medibank a annoncé travailler avec le gouvernement australien et la police, qui s’efforcent d’empêcher le partage et la vente des données dérobées.
Les experts en cybercriminalité estiment que le paiement d’une rançon n’avait qu’une « chance limitée » d’assurer le retour des données volées, a expliqué M. Koczkar, ajoutant que cela pourrait encourager l’extorsion directe de ses clients.
Deux cabinets d’avocats, Bannister Law et Centennial Lawyers, ont annoncé mardi avoir uni leurs forces pour une éventuelle action collective en justice contre Medibank.
« Nous estimons que la violation des données est une trahison des clients de Medibank Private et une violation de la loi sur la protection de la vie privée », ont-ils indiqué dans une déclaration commune.
Le piratage de Medibank survient après une attaque en septembre contre le deuxième opérateur de téléphonie mobile du pays, Optus, qui a divulgué les informations personnelles de quelque neuf millions d’Australiens, soit près d’un tiers de la population.
djw/arb/dhc/lpa/jnd/nth