Optus: Πώς μια μαζική παραβίαση δεδομένων εξέθεσε την Αυστραλία

Την περασμένη εβδομάδα, ο τηλεπικοινωνιακός γίγαντας της Αυστραλίας Optus, αποκάλυψε ότι έπεσε θύμα κυβερνοεπίθεσης και ότι κλάπηκαν δεδομένα περίπου 10 εκατομμύριων πελάτων της – περίπου το 40% του πληθυσμού της χώρας.

Ορισμένοι ειδικοί λένε ότι μπορεί να πρόκειται για τη χειρότερη παραβίαση δεδομένων στην ιστορία της Αυστραλίας. Όμως αυτή η εβδομάδα είχε δραματικές εξελίξεις με απειλές για λύτρα, κρίση στο χρηματιστήριο και πολιτικές διαμάχες. Η παραβίαση πυροδότησε επίσης κρίσιμα ερωτήματα σχετικά με τον τρόπο με τον οποίο η Αυστραλία χειρίζεται τα δεδομένα και την ιδιωτική ζωή.

Η Optus – θυγατρική της Singapore Telecommunications Ltd – δημοσιοποίησε την παραβίαση περίπου 24 ώρες αφότου παρατήρησε ύποπτη δραστηριότητα στο δίκτυό της.

Ο δεύτερος μεγαλύτερος πάροχος τηλεπικοινωνιών της Αυστραλίας δήλωσε ότι κλάπηκαν δεδομένα πελατών – όπως ονόματα, ημερομηνίες γέννησης, διευθύνσεις κατοικίας, τηλεφωνικοί αριθμοί, καθώς και αριθμοί διαβατηρίων και διπλωμάτων οδήγησης. Τόνισε ωστόσο ότι δεν παραβιάστηκαν τα στοιχεία πληρωμών και οι κωδικοί πρόσβασης λογαριασμών.

Η Optus ανακοίνωσε ότι ερευνά την παραβίαση και ότι έχει ήδη ενημερώσει την αστυνομία, τα χρηματοπιστωτικά ιδρύματα και τις κυβερνητικές ρυθμιστικές αρχές. Σύμφωνα με τα τοπικά μέσα ενημέρωσης, η παραβίαση φαίνεται να προήλθε από το εξωτερικό.

Απαίτηση λύτρων

Νωρίς το περασμένο Σάββατο (24/09), ένας χρήστης του διαδικτύου δημοσίευσε δείγματα δεδομένων σε ένα διαδικτυακό φόρουμ και απαίτησε από την Optus λύτρα ύψους 1 εκατ. δολαρίων σε κρυπτονομίσματα. Η εταιρεία είχε διορία μια εβδομάδα για να πληρώσει, αλλιώς ο χάκερ θα πουλούσε τα υπόλοιπα κλεμμένα δεδομένα.

Οι ερευνητές δεν έχουν ακόμη επαληθεύσει τους ισχυρισμούς του, αλλά ορισμένοι ειδικοί είπαν ότι το δείγμα δεδομένων φαινόταν αληθινό. Ένας δημοσιογράφος που επικοινώνησε μαζί του, δήλωσε ότι ο χάκερ του αποκάλυψε πώς έκανε την παραβίαση.

Ο χάκερ διέψευσε τους ισχυρισμούς της Optus ότι η παραβίαση ήταν «πολύπλοκη», λέγοντας ότι πήρε τα δεδομένα χρησιμοποιώντας ένα δωρεάν λογισμικό. Την Τρίτη (27/09), ο χάκερ έδωσε στη δημοσιότητα τα αρχεία 10.000 πελατών και επανέλαβε τη διορία για τα λύτρα.

https://twitter.com/DanielCrute/status/1575788105055240194?s=20&t=W61kW1XgTHL-Sy9dDuMmAA

Αλλά λίγες ώρες αργότερα, ο χάκερ ζήτησε συγγνώμη – λέγοντας ότι ήταν «λάθος»  και έσβησε τα σύνολα δεδομένων που είχε αναρτήσει προηγουμένως. Αυτό προκάλεσε εικασίες σχετικά με το αν η Optus είχε πληρώσει τα λύτρα – κάτι που η εταιρεία αρνείται – ή αν ο χάκερ είχε τρομάξει από την αστυνομική έρευνα. Ωστόσο, κάποιοι χρήστες του φόρουμ είχαν ήδη αντιγράψει τα σύνολα δεδομένων και συνέχισαν να τα αναρτούν. Αποδείχθηκε επίσης ότι είχαν κλαπεί τα ιατρικά στοιχεία ορισμένων, κάτι που η Optus δεν είχε αποκαλύψει προηγουμένως. Αργά την Τετάρτη (28/09), η εταιρεία δήλωσε ότι η παραβίαση είχε ως αποτέλεσμα την έκθεση σχεδόν 37.000 λογαριασμών Medicare.

Από την περασμένη εβδομάδα, η Optus κατακλύζεται από μηνύματα θυμωμένων πελατών της και ενδέχεται να κατατεθεί ομαδική αγωγή εναντίον της, όπως αναφέρει το BBC.

«Πρόκειται ενδεχομένως για την πιο σοβαρή παραβίαση της ιδιωτικής ζωής στην ιστορία της Αυστραλίας, τόσο όσον αφορά τον αριθμό των ατόμων που επηρεάζονται όσο και τη φύση των πληροφοριών που αποκαλύπτονται», δήλωσε ο δικηγόρος Μπεν Ζόκο.

Η κυβέρνηση χαρακτήρισε την παραβίαση «πρωτοφανή» και κατηγόρησε την Optus, λέγοντας ότι «άφησε ανοιχτό το παράθυρο» για την κλοπή ευαίσθητων δεδομένων. Οι βουλευτές της αντιπολίτευσης κατηγόρησαν την κυβέρνηση των Εργατικών ότι «κοιμάται στο τιμόνι». 

Οι ειδικοί σε θέματα ασφάλειας έχουν προτείνει τη μεταρρύθμιση των νόμων για τη διατήρηση δεδομένων, ώστε οι εταιρείες τηλεπικοινωνιών να μην χρειάζεται να διατηρούν ευαίσθητες πληροφορίες για μεγάλο χρονικό διάστημα. Οι πρώην πελάτες θα πρέπει επίσης να έχουν το δικαίωμα να ζητήσουν από τις εταιρείες να διαγράψουν τα δεδομένα τους, λένε οι ειδικοί.

ΠΗΓΗ: BBC