Det handlar om personlig information som hackarna hotar att sprida vidare inom 24 timmar, enligt ett uttalande från en anonym källa på en hackerblogg.
Enligt Medibank rör det sig om namn, födelsedatum, passnummer, adresser, telefonnummer och emailadresser från både nuvarande och tidigare kunder, däribland runt 1,8 miljoner utländska medborgare. Dessutom tros ett okänt antal kunders vårdhistoria ha läckt – diagnoser, tidigare operationer och ekonomiska anspråk till försäkringsbolaget.
Medibank uppmanar nu kunderna att vara "vaksamma" efter att bolaget meddelat att man inte kommer att ge efter för hackergruppens krav på lösensumma. Kunderna kan också komma att kontaktas direkt av hackergruppen, enligt bolaget.
– Vi ber förbehållslöst om ursäkt till våra kunder, säger vd:n David Koczkar.
I september hackades ett av landets största telekombolag, Optus, vilket ledde till att runt nio miljoner australiers uppgifter läckte.