בפוסט הקודם שעסק באירועי סייבר ודליפת מידע באוסטרליה, כתבתי על דליפת מידע ענקית של חברת התקשורת השנייה בגודלה באוסטרליה ועל בעיות גניבת הזהות העצומות שהיא יצרה. הפעם נעסוק בפריצה הרבה יותר קריטית: חברת הביטוח הרפואי הפרטי מהגדולות באוסטרליה, Medibank, והסחיטה שהיא עוברת.
במשך שבועות, האקרים (רוסים, לדברי הרשויות באוסטרליה) ישבו על מערכות Medibank לאחר שפרצו אליהן, ו"שתו" 200 גיגה בייט של נתונים אישיים, פיננסיים ורפואיים.
מכיוון שהמידע הראשוני על הפריצה פורסם באתר המשמש את קבוצת התקיפה הרוסית REvil, ההנחה היא שהתוכנית המקורית של ההאקרים הייתה לא רק לגנוב את המידע הרגיש, אלא גם להצפין את הקבצים ולדרוש כופר לפתיחתם. למרבה המזל, הפריצה זוהתה ככל הנראה בדקה ה-90, רגע לפני הצפנת הקבצים.
ההאקרים התמקדו בסחיטת תשלום תמורת הבטחתם לא לפרסם את המידע הרגיש של החברה. כמה רגיש? מאוד מאוד רגיש.
ב-9 בנובמבר 2022 שיחררו ההאקרים חלק מהמידע שגנבו וחילקו אותו, תוך שימוש בהומור מפוקפק ואכזרי, לשתי קטגוריות: "הרשימה הטובה" (Good-list) והרשימה השובבה (Naughty-list). "הרשימה השובבה" הכילה מידע על לקוחות החברה שנזקקו לטיפול באיידס, התמכרו לאלכוהול או סמים או סבלו מבעיות נפשיות.
דרישת הכופר עמדה על 10 מיליון דולר, אך "בטוב ליבם" הסכימו ההאקרים לעשות הנחה לסכום של 9.7 מיליון דולר, דולר אחד עבור כל לקוח של Medibank.
יום לאחר מכן, העבירה שרת הפנים (Minister of Home Affairs), קלייר אוניל, מסר אגרסיבי להאקרים: "אני רוצה שהחלאות שעומדים מאחורי המתקפה ידעו שהאנשים החכמים והקשוחים ביותר באוסטרליה בדרך לתפוס אתכם", והוסיפה גם מסר לאזרחים: "אני רוצה לומר, במיוחד לנשים שהמידע הפרטי שלהן נחשף בין לילה, כשרה שאחראית להגנת הסייבר, אבל חשוב מכך, כאישה – זה לא היה צריך לקרות ואני יודעת שזה מאוד קשה עבורכן". מנכ"ל החברה, דיויד קוצ'קר, כינה את פרסום המידע "מחפיר" והוסיף שההאקרים משתמשים במידע פרטי כנשק.על החברה הופעל לחץ רב, הן מצד ממשלת אוסטרליה והן מצד ארגוני מסחר שונים שלא לשלם את הכופר, גם כשהתוצאה האיומה ידועה מראש – המידע הרגיש של לקוחות החברה יפורסם ברשת.
לחצים אלו מוצדקים מכיוון שברור לכל שאין שום דרך לוודא שהיענות לסחיטה תמנע את הפצת המידע המלא. יתרה מזאת, תשלום כופר מעודד מתקפות נוספות.
חברת הביטוח הרפואי פתחה מוקד טלפוני לסיוע נפשי ללקוחות ומספקת שירות חינמי להגנה מגניבת זהות, וכולם בעיקר עסוקים בהכנה נפשית של הנפגעים לכך שפרטיהם ייחשפו ושהם צריכים "להחזיק מעמד". החברה עצמה מתחזקת דפים באתר שלה בהם היא מעדכנת את הלקוחות בהתפתחויות בנושא. יש שהגיבו להתנהלות של החברה בסאטירה מרירה ומשעשעת המציעה ללקוחות החברה "התנצלויות פרמיום".
ממשלת אוסטרליה שוקלת לקדם חקיקה שתאסור על חברות לשלם כופר (תוך מודעות לסיכון שחברות יעדיפו לא לדווח שנפרצו), מעלה את הקנסות על חברות שנפרצו והבטיחה לבצע מתקפות נגד על קבוצות תקיפה (Hack-Back). אבל בנושא הזה, ובכן, בואו… לא מדובר במוסד הישראלי וכולם מבינים את זה.
מטבע הדברים הוגשה נגד החברה תביעה ייצוגית, ועל פי הערכות שונות סכום הפיצוי לכל לקוח עשוי לנוע בין 500 ל-20,000 דולר, כך שככל שהתביעה תתקבל, הסכום שהחברה תאלץ לשלם עשוי להאמיר למיליארדי דולרים.
* המאמר משקף את דעתו האישית של הכותב.
