+Comentário As autoridades australianas pediram ao Federal Bureau of Investigation (FBI) dos Estados Unidos para ajudar nas investigações sobre a violação de dados na telco local Optus.
O procurador-geral Mark Dreyfus revelou ontem que o FBI foi solicitado a ajudar a identificar as entidades envolvidas no ataque, que viu a Optus vazar dados descrevendo mais de dez milhões de titulares de contas. Os dados suspeitos de terem sido acessados incluíam detalhes da carteira de motorista, números de passaporte, endereços de e-mail e números de telefone.
A Optus, de propriedade da mega-telco de Cingapura Singtel, divulgou a violação na última quinta-feira.
Nos dias seguintes, desfazer o que aconteceu ficou mais difícil.
Resgate não pago, mas não nos importamos mais. Foi um erro raspar os dados de publicação em primeiro lugar.
O CEO da Optus, Kelly Bayer Rosmarin, disse que o ataque foi “sofisticado”.
A ministra de Assuntos Internos da Austrália, Claire O’Neil, disse no Parlamento que a Optus “deixou a janela aberta” – uma provável referência a uma aparente conta interna do ataque que o atribuiu a uma API que permite acesso ao tesouro de informações de identidade do cliente da Optus usado para verificar a identidade dos clientes com terceiros ou realizar verificações de crédito. Esses dados foram supostamente expostos erroneamente à internet, tornando triviais as consultas para acessar as informações do cliente. ela sentiu a necessidade de corrigir a desinformação – uma resposta sem remorso que tem sido típica da resposta da telco.
Quem foi?
Enquanto a política da violação se desenrolava, a atenção se voltou para identificar os atores por trás da violação e suas intenções.
Uma entidade que alega ter perpetrado o hack postou uma demanda por um $ 1 milhão de resgate para os notórios BreachForums. O repórter de segurança da informação australiano Jeremy Kirk entrou em contato com o pôster, que forneceu alguns dados que Kirk verificou como contendo registros de clientes da Optus. Kirk revelou mais tarde que a entidade havia lançado 10.000 registros e prometeu liberar mais.
Kirk também revelou que os dados que ele viu incluíam referências ao Medicare, o plano nacional de seguro de saúde público da Austrália. Os ministros rapidamente notaram que a Optus não havia divulgado anteriormente o vazamento de dados do Medicare.
Mulher forçada a vender casa de 4 quartos após a troca de criptomoedas reembolsar indevidamente US $ 7,2 milhões Vespas australianas ameaçam outro avião de passageiros, com a ajuda do COVID -19
- O tribunal australiano anula a decisão “O Google é um editor”A omissão é importante por dois motivos, um dos quais é que lança mais dúvidas sobre a honestidade da Optus.
A outra é que a Austrália exige o fornecimento de vários documentos para estabelecer a identidade ao fazer coisas como solicitar empréstimos ou abrir contas bancárias. As alegações de que os números de membros do Medicare podem estar presentes nos dados roubados aumentaram, portanto, o risco de fraude de identidade resultante da violação de dados. emissão de carteiras de motorista de substituição, e a raiva dos cidadãos como esse processo provou ser difícil de organizar. Desde então, os partidos da oposição da Austrália pediram a emissão de passaportes substitutos gratuitos para as vítimas da violação e a resposta do governo ao incidente tornou-se outra questão em debate. direção, o usuário do BreachForums anunciou que havia excluído os dados da Optus e retirado da venda.
“Muitos olhos. Não venderemos dados (sic) para ninguém. Não podemos se até mesmo deseja: dados pessoais excluídos da unidade (somente cópia) “, escreveu a entidade, acrescentando “Optus, se sua leitura, teríamos relatado a exploração se você tivesse um método para entrar em contato. Sem correio de segurança, sem recompensas de bugs, sem mensagem”.
“O resgate não foi pago, mas não nos importamos mais. Foi um erro coletar os dados de publicação em primeiro lugar.”
As postagens do BreachForums às vezes misturam precisão e informações altamente especulativas, então as autoridades australianas não aceitaram o post como o fim do assunto e continuam as investigações.
Mas nenhuma alternativa o culpado foi mencionado, e é aí que entra a colaboração com o FBI.
Optus permanece em grande parte em silêncio. A empresa publicou uma declaração e perguntas frequentes, mas não informou sobre compensação ou se financiará novos passaportes ou carteiras de motorista. A empresa controladora Singtel não disse quase nada.
Comentário: A violação de dados que a Austrália deveria ter
Australia’s a população é de 26 milhões, então os 10,2 milhões de registros levantados da Optus podem descrever até 38% da população. Isso é muito mais do que qualquer violação de dados anterior na Austrália, e a Optus é confortavelmente a marca mais proeminente a ter sofrido um incidente desse tipo.
O incidente, portanto, dominou um ciclo de notícias e deu destaque sem precedentes a preocupações com a segurança da informação.
O governo da Austrália também deu um foco incomum à proteção do consumidor na era digital após anos de foco na interseção de infosec e segurança nacional. Nos próximos dias, espera-se que as leis imponham requisitos de proteção ao consumidor para empresas que detêm dados pessoais, além de multas mais severas para entidades que vazam dados.
Debate sobre os próximos passos apropriados para proteção pessoal e respostas legislativas , são subitamente mainstream.
Eles nunca estiveram lá antes porque a Austrália nunca sofreu um ataque tão importante.
Severo como a situação é, esta pode, portanto, ser a violação que a Austrália precisava ter. E digo isso como alguém ainda a ser notificado pela Optus sobre se meus envolvimentos com a empresa me colocam em risco … e, portanto, espera muito que a empresa logo se explique de uma maneira que demonstre arrependimento sincero e intenção de restaurar a confiança .
