Eén van de grootste datalekken in de Australische geschiedenis is ontstaan doordat criminelen het gesynchroniseerde wachtwoord van een helpdeskmedewerker wisten te stelen, nadat zijn persoonlijke computer met malware besmet was geraakt. Bij de Australische zorgverzekeraar Medibank wist een ransomwaregroep de gegevens van 9,7 miljoen klanten buit te maken en publiceerde die vervolgens nadat het bedrijf had aangegeven geen losgeld te betalen.

Zo werden allerlei medische dossiers gepubliceerd. Daarin stond onder andere dat mensen waren gediagnosticeerd of behandeld voor alcoholmisbruik, drugsverslaving en hiv-status. Ook werden dossiers online gezet met informatie over psychische klachten, alsmede andere aandoeningen, zoals hartklachten, diabetes, astma, kanker en dementie. Tevens werden dossiers openbaar gemaakt van vrouwen die een abortus hadden laten plegen.

De Australische privacytoezichthouder OAIC deed onderzoek naar het datalek en heeft besloten Medibank civielrechtelijke sancties op te leggen. Wat die inhouden is nog niet bekend. Daarnaast is het onderzoeksrapport openbaar gemaakt (pdf). Medibank maakte voor helpdeskzaken gebruik van een contractor. Eén van de helpdeskmedewerkers had, terwijl hij gebruik van een werkcomputer maakte, de gebruikersnaam en wachtwoord voor meerdere Medibank-accounts in zijn persoonlijke browserprofiel opgeslagen.

Nadat de helpdeskmedewerker op zijn persoonlijke computer op zijn browserprofiel inlogde, werden de inloggegevens van Medibank gesynchroniseerd. De persoonlijke computer was echter besmet met malware waarmee criminelen de inloggegevens konden stelen. Via de inloggegevens hadden ze vervolgens toegang tot de Microsoft Exchange-server van Medibank en de vpn-oplossing van de zorgverzekeraar. In de betreffende periode was een gebruikersnaam en wachtwoord voldoende om op de vpn-oplossing in te loggen. Er werd geen gebruikgemaakt van multifactorauthenticatie (MFA).

Uiteindelijk wisten de criminelen toegang tot een database met persoonlijke gegevens van klanten te krijgen en maakten daarbij 520 gigabyte aan data buit. Het ging om namen, geboortedata, adresgegevens, telefoonnummers, e-mailadressen, verzekeringsnummers, paspoortnummers, gezondheidsgerelateerde informatie en declaraties, zoals patiëntnaam, zorgbehandelaar, primaire en secondaire diagnoses en behandelcodes en -datums.

Volgens de Australische privacytoezichthouder had Medibank vanwege de data waarover het beschikte verschillende beveiligingsmaatregelen moeten nemen. Waaronder het monitoren van wachtwoorden en accounts, implementeren van MFA en het controleren dat contractors aan de vereiste veiligheidseisen voldoen. Aangezien het bedrijf dit naliet is de privacy van een groot aantal personen geschonden, aldus de toezichthouder.