近年来，网络安全事件频发，严重威胁着个人隐私和企业安全。2022年，澳大利亚医疗保险巨头 Medibank 遭遇了一起严重的网络攻击，导致高达 970 万名客户的个人信息和敏感健康数据泄露。Medibank为了弥补这次重大失误，宣布将投入 1.26 亿澳元（约合人民币6亿元）进行为期三年的 IT 安全升级，以加强网络防御能力，防止类似事件再次发生。这笔巨额资金投入，体现了Medibank对网络安全的重新认识，也凸显了网络攻击带来的巨大损失和潜在风险。

Medibank 数据泄露事件的起因，可以追溯到 2022 年 8 月。据澳大利亚信息专员办公室 (OAIC) 的调查报告显示，一名承包商在工作电脑上使用了个人浏览器配置文件并保存了 Medibank 的凭据，随后这些凭据被同步到其家庭电脑上。不幸的是，该家庭电脑感染了信息窃取恶意软件，导致黑客获取了保存的浏览器密码，进而获得了 Medibank 的标准和高级访问权限（管理员帐户）。

黑客随后利用这些凭据，于 8 月 12 日开始入侵 Medibank 的网络。更为严重的是，Medibank 的网络并未启用多因素身份验证，这使得黑客仅凭窃取的凭据即可登录 VPN，从而获得公司网络内部的访问权限。

OAIC 报告指出，Medibank 没有采取合理措施来保护用户数据，例如未强制实施 VPN 凭据的多因素身份验证。此外，Medibank 的 EDR 软件在 8 月 24 日和 25 日曾发出有关可疑行为的警报，但这些警报并未得到妥善处理。直至 10 月中旬，Medibank 才发现数据被盗，此时已经损失惨重。

此次事件也暴露出 Medibank 在网络安全管理方面的诸多漏洞，包括缺乏完善的安全意识培训、内部控制机制不健全、对安全事件响应速度慢等，这些都是导致数据泄露的重要原因。澳大利亚信息专员告诉澳大利亚法院，虽然Medibank在2022年有着 71 亿澳元的收入，但其当年的网络安全预算仅为 100 万澳元。

Medibank 数据泄露事件带来的影响是深远的。除了巨额的安全升级成本外，Medibank 还面临着来自股东和受影响客户的多起集体诉讼，预计将面临巨额赔偿。此外，Medibank 的声誉也遭受了严重打击，客户信任度下降，这将对公司的未来发展产生负面影响。

OAIC 已经对 Medibank 提起了民事诉讼，指控其违反了澳大利亚隐私法，要求其承担相应责任。这起诉讼也为其他企业敲响了警钟，提醒企业必须重视数据安全和隐私保护，并采取有效措施来防止类似事件的发生。此次事件也引发了澳大利亚政府对数据保护立法的重视，政府正在考虑提高隐私违规的罚款上限，并赋予信息专员更多权力来解决隐私泄露问题。

由此可以看出，积极主动和稳健的网络安全战略不仅是一项必要的成本，同时也是保护宝贵数据、维护客户信任以及确保业务连续性的关键投资。

编辑：左右里

资讯来源：OAIC

转载请注明出处和本文链接

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课