**Inleiding en Situatieschets**

Eén van de grootste datalekken in de Australische geschiedenis heeft plaatsgevonden bij de zorgverzekeraar Medibank. Het datalek ontstond doordat criminelen het gesynchroniseerde wachtwoord van een helpdeskmedewerker wisten te stelen, nadat zijn persoonlijke computer besmet was met malware. Het gevolg van dit lek was dat een ransomwaregroep de gegevens van 9,7 miljoen klanten wist te bemachtigen en deze gegevens openbaar maakte nadat Medibank weigerde losgeld te betalen.

**Impact van het Datalek**

De gelekte informatie bevatte uiterst gevoelige medische dossiers. Deze dossiers onthulden informatie over diagnoses en behandelingen van diverse medische aandoeningen zoals alcoholmisbruik, drugsverslaving, hiv-status, psychische klachten, hartklachten, diabetes, astma, kanker en dementie. Daarnaast werden ook zeer persoonlijke gegevens gepubliceerd, zoals de medische dossiers van vrouwen die een abortus hadden ondergaan.

**Onderzoek en Gevolgen**

De Australische privacytoezichthouder, de Office of the Australian Information Commissioner (OAIC), heeft een uitgebreid onderzoek uitgevoerd naar het datalek. Het onderzoek leidde tot het opleggen van civielrechtelijke sancties aan Medibank. De specifieke aard van deze sancties is op dit moment nog niet bekendgemaakt. Het onderzoeksrapport is echter wel openbaar beschikbaar (pdf).

Uit het onderzoek blijkt dat een contractor, die helpdeskwerkzaamheden voor Medibank uitvoerde, verantwoordelijk was voor het datalek. De helpdeskmedewerker in kwestie had de gebruikersnaam en wachtwoorden voor meerdere Medibank-accounts opgeslagen in zijn persoonlijke browserprofiel. Toen deze medewerker op zijn persoonlijke computer inlogde op zijn browserprofiel, werden de inloggegevens van Medibank gesynchroniseerd. Doordat deze persoonlijke computer besmet was met malware, konden criminelen de inloggegevens stelen.

**Hoe de Criminelen Toegang Verkregen**

Met de gestolen inloggegevens kregen de criminelen toegang tot de Microsoft Exchange-server en de VPN-oplossing van Medibank. Op dat moment was alleen een gebruikersnaam en wachtwoord voldoende om in te loggen op de VPN, zonder dat er gebruik werd gemaakt van multifactorauthenticatie (MFA).

**De Gevolgen van het Beveiligingslek**

De criminelen slaagden erin om 520 gigabyte aan waardevolle data buit te maken. Deze data omvatte namen, geboortedata, adresgegevens, telefoonnummers, e-mailadressen, verzekeringsnummers, paspoortnummers, en gedetailleerde gezondheidsgerelateerde informatie zoals diagnoses, behandelcodes en -datums, en informatie over zorgbehandelingen.

**Eisen van de Privacytoezichthouder**

Volgens de OAIC had Medibank, gezien de gevoelige aard van de gegevens waarover het beschikte, moeten zorgen voor adequate beveiligingsmaatregelen. Dit omvatte onder andere het monitoren van wachtwoorden en accounts, het implementeren van MFA, en het verzekeren dat contractors voldoen aan strenge veiligheidseisen. Het gebrek aan deze maatregelen heeft ertoe geleid dat de privacy van miljoenen personen ernstig is geschonden.

**Conclusie en Leerpunten**

Deze gebeurtenis benadrukt het belang van robuuste beveiligingsmaatregelen in de bescherming van gevoelige gegevens. Bedrijven dienen niet alleen interne beveiliging op orde te hebben maar ook ervoor te zorgen dat externe contractors aan dezelfde hoge veiligheidsnormen voldoen. Het gebruik van multifactorauthenticatie, regelmatige monitoring van accounts, en het vermijden van het opslaan van aanmeldgegevens in persoonlijke browserprofielen zijn enkele maatregelen die toekomstige incidenten kunnen helpen voorkomen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Bron: Security.nl