Optus: как массовая утечка данных обнажила Австралию

На прошлой неделе австралийский телекоммуникационный гигант Optus сообщил, что около 10 миллионов клиентов — около 40% населения — украли личные данные в результате так называемой кибератаки.

Некоторые эксперты говорят, что это может быть худшая утечка данных в истории Австралии.

Но на этой неделе произошли более драматические и беспорядочные события, в том числе угрозы выкупа, напряженные публичные обсуждения и проверка того, является ли это вообще «взломом».

Это также вызвало критические вопросы о том, как Австралия обращается с данными и конфиденциальностью.

Optus, дочерняя компания Singapore Telecommunications Ltd, сообщила о взломе примерно через 24 часа после того, как обнаружила подозрительную активность в своей сети.

Второй по величине телекоммуникационный провайдер Австралии заявил, что данные текущих и бывших клиентов были украдены, включая имена, даты рождения, номера телефонов, адреса электронной почты, номера паспортов и водительских прав. Он подчеркнул, что платежные реквизиты и пароли к учетным записям не были скомпрометированы.

Те, у кого были изъяты номера паспортов или водительских прав, а это примерно 2,8 миллиона человек, подвергаются «весьма значительному» риску кражи личных данных и мошенничества, заявило правительство с тех пор.

Optus заявила, что расследует нарушение и уведомила полицию, финансовые учреждения и государственные регулирующие органы. По сообщениям местных СМИ, нарушение, по-видимому, произошло за границей.

В эмоциональном извинении исполнительный директор Optus Келли Байер Розмарин назвала это «сложной атакой», заявив, что у компании очень сильная кибербезопасность.

«Очевидно, я злюсь, что есть люди, которые хотят сделать это с нашими клиентами, и я разочарована тем, что мы не могли предотвратить это», — сказала она в пятницу.

Рано утром в субботу интернет-пользователь опубликовал образцы данных на онлайн-форуме и потребовал от Optus выкуп в размере 1 млн долларов (1,5 млн австралийских долларов; 938 000 фунтов стерлингов) в криптовалюте.

По словам источника, у компании была неделя, чтобы заплатить, иначе другие украденные данные будут проданы партиями.

Следователям еще предстоит проверить утверждения пользователя, но некоторые эксперты быстро заявили, что образцы данных, которые содержали около 100 записей, кажутся законными.

Сиднейский технический репортер Джереми Кирк связался с предполагаемым хакером и сказал, что этот человек дал ему подробное объяснение того, как они украли данные.

Пользователь опроверг утверждения Optus о том, что взлом был «сложным», заявив, что они извлекли данные из свободно доступного программного интерфейса.

«Аутентификация не требуется… Все открыто для использования в Интернете», — говорится в сообщении, по словам Кирка.

В другой эскалации человек, называющий себя хакером, опубликовал 10 000 записей клиентов и подтвердил крайний срок выкупа.

Но всего через несколько часов пользователь извинился, заявив, что это была «ошибка», и удалил ранее опубликованные наборы данных.

«Слишком много глаз. Мы не будем продавать [sic] никому», — написали они. «Приносим глубочайшие извинения Optus за это. Надеюсь, из этого все пойдет хорошо».

Это вызвало слухи о том, заплатил ли Optus выкуп, что компания отрицает.

Проблема усугублялась тем, что другие участники форума копировали уже удаленные наборы данных и продолжали их распространять.

Также выяснилось, что данные некоторых клиентов Medicare — государственные идентификационные номера, которые могли обеспечить доступ к медицинским записям, — также были украдены, чего Optus ранее не раскрывала.

Поздно вечером в среду компания заявила, что это затронуло почти 37 000 карт Medicare.

Optus был завален сообщениями от разгневанных клиентов с прошлой недели.

Людей предупредили остерегаться признаков кражи личных данных и мошенников-авантюристов, которые, как говорят, уже наживаются на путанице.

Вскоре против компании может быть подан коллективный иск. «Потенциально это самое серьезное нарушение конфиденциальности в истории Австралии, как с точки зрения количества пострадавших, так и с точки зрения характера раскрываемой информации», — сказал Бен Зокко из Slater and Gordon Lawyers.

Правительство назвало нарушение «беспрецедентным» и обвинило Optus, заявив, что оно «фактически оставило окно открытым» для кражи конфиденциальных данных.

В понедельник в телевизионном интервью ABC министра кибербезопасности Клэр О’Нил спросили: «Кажется, вы, конечно, не верите словам Optus о том, что это была изощренная атака?»

«Ну, это не так. Так что нет», — ответила мисс О’Нил. Момент привлек много внимания в сети.

Г-жа Байер Розмарин сказала News Corp Australia во вторник: «У нас есть несколько уровней защиты. Так что это не тот случай, когда у нас есть какие-то полностью открытые API. [software interfaces] сидит там.

«Я думаю, что большинство клиентов понимают, что мы не злодеи», — сказала она, добавив, что Оптус не может сказать больше, пока идет расследование.

Компания столкнулась с призывами покрыть расходы на замену паспорта и водительских прав, поскольку люди изо всех сил пытаются защитить себя.

По словам г-жи О’Нил, это нарушение подчеркивает, насколько Австралия отстает от других частей мира в вопросах конфиденциальности и кибербезопасности.

«Вероятно, мы отстали на десять лет… где должны быть», — сказала она ABC.

Обе стороны политики обменялись обвинениями в этом вопросе. Депутаты от оппозиции заявили, что лейбористское правительство «спит за рулем», но правительство указывает, что оно было избрано только в мае после десятилетия консервативного правления.

Г-жа О’Нил указала на две области, требующие срочной реформы.

Она утверждает, что правительство должно иметь возможность лучше наказывать такие компании, как Optus. В некоторых странах компании грозит штраф в размере сотен миллионов долларов.но размер штрафа в Австралии ограничен примерно 2 миллионами долларов, сказала она.

Она также хочет расширить законы о кибербезопасности, принятые в прошлом году, и включить в них телекоммуникационные компании.

«В то время телекоммуникационный сектор сказал: «Не беспокойтесь о нас — мы действительно хороши в кибербезопасности. Мы сделаем это без регулирования. Я бы сказал, что этот инцидент действительно ставит это утверждение под сомнение».

Эксперты по безопасности также предложили реформировать законы о хранении данных, чтобы телекоммуникационным компаниям не приходилось так долго хранить конфиденциальную информацию. По словам экспертов, бывшие клиенты также должны иметь право требовать от компаний удаления их данных.

Optus заявляет, что в соответствии с действующими правилами требуется хранить идентификационные данные в течение шести лет.

Другие деятели отрасли утверждают, что потребители должны иметь возможность обращаться в суд с компаниями, которые теряют контроль над их информацией, а не с регулирующим органом отрасли.