Утечка данных Optus в 2022 году
Утечка данных австралийских телекоммуникационных компаний

В сентябре 2022 года австралийская телекоммуникационная компания Optus пострадала от утечки данных , которая затронула до 10 миллионов нынешних и бывших клиентов, составляющих треть населения Австралии. Была незаконно получена информация, включая имена, даты рождения, домашние адреса, номера телефонов, контакты электронной почты, а также номера паспортов и водительских прав. Были высказаны противоречивые заявления о том, как произошла утечка; Optus представила это как сложную атаку на свои системы, в то время как инсайдер Optus и правительство Австралии заявили, что человеческая ошибка привела к уязвимости в API компании . Было отправлено уведомление о выкупе в размере 1 500 000 австралийских долларов за прекращение продажи данных в Интернете. Через несколько часов воры данных удалили уведомление о выкупе и извинились за свои действия.

Правительственные деятели, включая министра внутренних дел и кибербезопасности Клэр О'Нил и министра государственных услуг Билла Шортена , раскритиковали Optus за его роль в атаке и за отказ от сотрудничества с государственными учреждениями и общественностью. Правительство объявило о принятии законодательства, включая разрешение на обмен информацией с финансовыми службами и государственными учреждениями, а также о реформах австралийских законов о безопасности критически важной инфраструктуры, чтобы помочь правительству действовать в случае будущих нарушений. [1] В ответ на нарушение данных Optus согласилась оплатить замену скомпрометированных паспортов, заказала внешнюю проверку и предоставила серьезно пострадавшим клиентам подписку на службу кредитного мониторинга . Optus также извинилась за нарушение. Клиенты критиковали Optus за то, что она не реагировала и неадекватно отреагировала на запросы пострадавших. По состоянию на июнь 2023 года продолжались расследования нарушения и коллективный иск от пострадавших клиентов.

Фон

Optus , австралийская телекоммуникационная компания, принадлежащая Singtel , была основана в 1981 году с образованием государственной компании спутниковой связи AUSSAT. [2] AUSSAT была приватизирована в 1991 году и продана консорциуму, в который входили Mayne Nickless и AMP . [3] В 2022 году Optus была третьей по величине телекоммуникационной компанией Австралии с долей рынка 13,1%. [4] В сентябре 2022 года у Optus было около 10 миллионов клиентов, что составляло более трети населения Австралии, составляющего около 26,12 миллиона человек. [5] [6]

Нарушение

20 сентября 2022 года техническая группа Optus заметила и расследовала подозрительную активность в своей сети. На следующий день было обнаружено, что системы Optus подверглись утечке данных, и регулирующие органы были проинформированы. 22 сентября компания публично объявила об утечке данных и проинформировала новостные агентства. [5] [7] Optus посоветовала общественности проявлять бдительность в отношении потенциальной мошеннической деятельности, но заявила, что не знает, нанесло ли нарушение какой-либо вред клиентам. Optus не сообщила, сколько клиентов пострадало или нанесла ли кража данных вред. [8] Незаконно полученная информация включала имена, даты рождения, домашние адреса, номера телефонов, контакты электронной почты, а также номера паспортов и водительских прав. [5]

Скриншот записки с требованием выкупа.
Записка с требованием выкупа, оставленная лицом, предположительно стоящим за взломом

23 сентября Optus опровергла заявления инсайдера о том, что интерфейс прикладного программирования (API) был случайно оставлен открытым для тестовой сети, имеющей доступ к Интернету. Компания также заявила, что произошел сложный взлом и что у нее есть сильная система кибербезопасности. [9] Австралийской вещательной корпорации (ABC) сообщили, что Optus считает, что хакер взломал базу данных потребителей компании, и что треть данных в базе данных была скопирована и извлечена. [9]

24 сентября Optus и Австралийская федеральная полиция (AFP), которая начала уголовное расследование, получили сообщения о том, что данные из утечки продаются в Интернете, и отслеживали темную паутину на предмет любых попыток продажи данных. [10] В тот же день пользователь на сайте BreachForums опубликовал записку с требованием выкупа; некоторые эксперты по кибербезопасности считали, что записка была подлинной, но Optus и AFP не подтвердили ее подлинность. В записке требовалось, чтобы Optus заплатила 1 500 000 долларов в криптовалюте Monero , ориентированной на конфиденциальность, предоставлялась выборка данных 200 клиентов и говорилось, что воры данных будут публиковать личную информацию 10 000 клиентов каждый день, если Optus не заплатит выкуп в течение недели. По истечении недели воры продавали данные за 400 000 австралийских долларов любому, кто хотел их получить. [11] Через несколько часов пользователь удалил свой оригинальный пост и, по-видимому, извинился за свои действия, несмотря на то, что выкуп не был выплачен, заявив, что это была «ошибка — изначально собирать данные для публикации [sic]» [11] и что слишком много людей обратили внимание на нарушение. Пользователь отметил, что сообщил бы об использованном им эксплойте, если бы у него была возможность связаться с Optus, отметив отсутствие защищенной почты, контакта для обмена сообщениями и вознаграждений за ошибки . [11]

Реакция правительства

Министр внутренних дел и кибербезопасности Клэр О'Нил заявила, что Optus несет ответственность за атаку, опровергнув аргумент Optus о том, что атака была сложной. О'Нил также заявила, что атака не должна была произойти, заявив: «Ответственность за нарушение безопасности лежит на Optus[,], и я хочу отметить, что нарушение имеет характер, который мы не должны ожидать увидеть в крупном поставщике телекоммуникационных услуг в этой стране». [12]

6 октября федеральное правительство объявило о чрезвычайном положении, временно разрешающем передавать водительские права, информацию о Medicare и номера паспортов финансовым службам, Содружеству, а также государственным и территориальным агентствам для содействия мониторингу счетов клиентов, пострадавших от утечки, на предмет потенциального мошенничества или мошенничества. Финансовые учреждения должны были взять на себя несколько обязательств по получению данных, включая соблюдение обязательств по конфиденциальности и удаление данных после их использования. Совету финансовых регуляторов было поручено определить и сообщить об изменениях в финансовых инструкциях для выявления клиентов, которые подвергались риску мошенничества и мошенничества. Изменения действовали в течение 12 месяцев. Казначей Джим Чалмерс заявил, что эти меры помогут защитить клиентов от мошенничества и обнаружить мошенничество. [13]

О'Нил выразила разочарование в связи с отсутствием у правительства возможности вмешаться в утечку данных, его неспособностью помочь с очисткой или заставить Optus предоставить информацию государственным службам. Она заявила, что австралийское законодательство не имеет никакой пользы для правительства, когда это необходимо, поскольку австралийские законы, регулирующие безопасность критической инфраструктуры, позволяют правительству вмешиваться только во время утечки данных. [14]

После взлома было объявлено о нескольких новых мерах безопасности для защиты жертв от мошенничества, включая более быстрое информирование банков об утечках данных для предотвращения использования данных для мошеннического доступа к банковским счетам. [15] Федеральное правительство объявило о пересмотре плана кибербезопасности стоимостью 1,7 млрд долларов, представленного предыдущим правительством , включая дополнительные полномочия по вмешательству в кибербезопасность. Правительство также рассмотрело Закон о кибербезопасности для создания стандартов и обязательств для промышленности и правительства, а также реформу Закона о безопасности критической инфраструктуры, чтобы подвести данные и системы клиентов под определение «критической инфраструктуры», что позволит правительству вмешиваться в крупные утечки данных. [16]

В апреле 2023 года было основано Национальное управление кибербезопасности с пятью штатными сотрудниками и без дополнительного финансирования, помимо того, что уже было выделено Министерству внутренних дел . [17] В июне 2023 года маршал авиации Даррен Голди был назначен первым координатором по кибербезопасности Австралии. [18] В ноябре 2023 года Голди был отозван в Министерство обороны в связи с вопросом на рабочем месте, и глава отдела кибербезопасности и безопасности инфраструктуры Хэмиш Хансфорд временно занял эту должность. [19]

27 февраля 2023 года премьер-министр Энтони Альбанезе и О'Нил провели круглый стол с представителями промышленности и гражданского общества по вопросам кибербезопасности после утечки данных. Был выпущен дискуссионный документ относительно роли федерального правительства в повышении возможностей кибербезопасности Австралии. [16] [20]

Правительства штатов Квинсленд , Виктория , Южная Австралия и Западная Австралия согласились оплатить замену водительских прав для людей, чьи номера водительских прав были скомпрометированы в результате взлома. [21] [22] В Виктории планы по добавлению второго номера к водительским правам были быстро приняты; все жертвы взлома получили второй номер в качестве части своих замен, чтобы защитить жителей Виктории от кражи личных данных. [23]

Ответ Optus

Группа зданий, сфотографированная с большого двора.
Штаб-квартира Optus в парке Маккуори, где располагалась «военная комната»

В день, когда было объявлено о взломе, Optus организовала «военную комнату» в своей штаб-квартире в Маккуори-Парке, Новый Южный Уэльс . В ней приняли участие около 150 сотрудников, а ее возглавили бывший премьер-министр Нового Южного Уэльса Глэдис Береджиклян и глава отдела по регулированию и связям с общественностью Эндрю Шеридан. [24]

Optus поручил Deloitte провести «независимую внешнюю проверку» относительно взлома. [25] Optus также предложил своим «наиболее пострадавшим» клиентам 12-месячную подписку на сервис кредитного мониторинга Equifax Protect после того, как О'Нил попросил компанию купить кредитный мониторинг для своих клиентов в Question Time . [26] Генеральный директор Optus Келли Байер Розмарин извинилась за атаку от имени компании. [27] Optus зарезервировала 140 миллионов долларов на расходы, связанные с нарушением, включая замену взломанных документов, удостоверяющих личность, подписки Equifax Protect и проверку Deloitte. [27] Optus пообещала оплатить замену скомпрометированных австралийских и иностранных паспортов. [28]

Optus сообщила, что у 2,1 миллиона ее клиентов были украдены документы, удостоверяющие личность, в результате взлома. Из них у 1,2 миллиона был украден по крайней мере один текущий, действительный номер из формы личной идентификации. У остальных 900 000 клиентов были украдены просроченные номера идентификации. [29]

Services Australia обвинила Optus в отсутствии коммуникации. 27 сентября Services Australia написала Optus «запросив полную информацию обо всех пострадавших клиентах с раскрытыми учетными данными Services Australia, такими как карты Medicare и/или льготные карты Centrelink». [14] Министр государственных услуг Билл Шортен заявил неделю спустя, что Services Australia не получила никаких данных от Optus, которая заявила, что «связалась с Services Australia, и мы сообщим всем пострадавшим клиентам руководство о шагах, которые они могут предпринять». [14] Также была путаница относительно количества украденных идентификационных номеров Medicare; Шортен сообщил на пресс-конференции, что было украдено около 36 900 идентификационных номеров, а Optus заявила, что было украдено 14 900 идентификационных номеров. [14]

Клиенты также сообщили о проблемах со связью с Optus. Клиенты заявили, что Optus не может подтвердить, что их личная информация была частью утечки данных. Клиенты сообщили, что после того, как они связались с Optus несколько раз, чат-бот компании не смог понять вопросы клиентов об утечке, торговые представители давали плохие ответы, они вообще не получили ответа от Optus, и были задержки с предупреждением клиентов о скомпрометированной личной информации. Один клиент заявил: «В конечном счете, мы являемся легкой добычей для кражи личных данных, и, учитывая, что мы не можем изменить наши даты рождения, адреса или имена, мы мало что можем с этим сделать, что невероятно расстраивает». [26]

8 марта 2023 года Bayer Rosmarin повторила заявление Optus о том, что атака была сложной, заявив на бизнес-саммите: «Опытный преступник знал системы Optus и перебрал десятки тысяч адресов интернет-протокола, пытаясь обойти наш автоматизированный кибермониторинг». [30] Она также заявила, что Optus никогда не платила выкуп хакеру и что основной причиной взлома были другие мошеннические цели. [30]

В ноябре 2023 года Байер Розмарин ушла с поста генерального директора Optus после сбоя в работе Optus в 2023 году ; на нее оказывалось растущее давление с целью заставить ее уйти в отставку из-за сбоя и утечки данных. [31]

6 октября 2022 года Австралийская федеральная полиция (AFP) арестовала 19-летнего жителя Сиднея Денниса Су в его доме в Рокдейле за шантаж 93 клиентов Optus, пострадавших от взлома. Су сказал, что он совершит финансовые преступления, используя персональные данные клиентов, если они не заплатят ему 2000 австралийских долларов, чего никто не сделал. Ему было предъявлено обвинение по одному пункту в использовании телекоммуникационной сети с намерением совершить серьезное преступление и по одному пункту в обращении с идентификационной информацией с намерением совершить преступление. Помощник комиссара AFP Джастин Гоф заявила, что Су не подозревается в ответственности за нарушение, и предупредила людей не нажимать на ссылки, якобы принадлежащие Optus. [32] Су признал себя виновным в ноябре 2022 года; он не отправился в тюрьму из-за признания вины, своего возраста и раскаяния в своих действиях, и он получил 18-месячный приказ об исправительных работах в общественных местах. [33]

11 октября Управление австралийского комиссара по информации (OAIC) ​​начало расследование нарушения, обработки Optus персональных данных клиентов, предприняла ли Optus разумные шаги для защиты потребителей, пострадавших от нарушения, от мошенничества, неправомерного использования или потери, и нужно ли было Optus хранить собранную информацию. Австралийское управление по коммуникациям и СМИ (ACMA) также начало расследование нарушения, сосредоточившись на обязательствах Optus по защите и утилизации персональных данных. [34] Федеральное правительство выделило OAIC 5,5 млн долларов на расследование нарушения в течение двух лет в своем бюджете на октябрь 2022 года . [25]

Юридическая фирма Slater & Gordon начала коллективный иск , утверждая, что Optus «нарушила законы и собственную политику, не обеспечив адекватной защиты данных клиентов и не уничтожив или не обезличив данные бывших клиентов». К продолжающемуся коллективному иску присоединились 100 000 нынешних и бывших клиентов Optus, которые хотели получить компенсацию за убытки, включая время на замену документов, удостоверяющих личность, и вызванный этим стресс. Optus заявила, что будет защищать свои действия. [35] [36] В суде юристы Slater & Gordon потребовали публично опубликовать отчет Deloitte, утверждая, что он может раскрыть возможные причины утечки данных. Optus отказалась опубликовать отчет, несмотря на то, что Bayer Rosmarin заявила в марте 2023 года, что Optus поделится «ключевыми рекомендациями и выводами» [37] из отчета. [37] [38] В ноябре 2023 года Optus проиграла торги на сохранение конфиденциальности отчета. [39]

Смотрите также

Ссылки

  1. ^ Crozier, Ry (1 октября 2022 г.). «Австралийская полиция и банки объединяют усилия для мониторинга утечки данных Optus». iTnews . Архивировано из оригинала 30 сентября 2022 г. Получено 17 октября 2023 г.
  2. ^ "История Австралии в области спутниковых технологий". The Lowdown. 8 июня 2007 г. Архивировано из оригинала 8 июня 2007 г. Получено 3 января 2024 г.
  3. Грей, Джоанн (20 ноября 1991 г.). «Optus выбрал борьбу с телекоммуникациями». Australian Financial Review . Получено 3 января 2024 г.
  4. ^ Брэдсток, Эмма (18 августа 2022 г.). «Крупнейшие интернет-провайдеры в Австралии». Canstar Blue . Архивировано из оригинала 10 июня 2023 г. . Получено 10 июня 2023 г. .
  5. ^ abc Turnbull, Tiffanie (29 сентября 2022 г.). «Optus: Как масштабная утечка данных раскрыла Австралию». BBC News . Архивировано из оригинала 16 мая 2023 г. Получено 16 мая 2023 г.
  6. ^ "Национальное, государственное и территориальное население – сентябрь 2022 г.". Австралийское бюро статистики . 16 марта 2023 г. Получено 3 апреля 2024 г.
  7. ^ Смит, Пол (21 декабря 2022 г.). «Внутри взлома Optus, который разбудил Австралию». Australian Financial Review . Архивировано из оригинала 20 мая 2023 г. Получено 20 мая 2023 г.
  8. ^ МакЭлрой, Николас (22 сентября 2022 г.). «Optus заявляет, что информация о клиентах была скомпрометирована в результате кибератаки». ABC News . Архивировано из оригинала 23 сентября 2022 г. Получено 16 мая 2023 г.
  9. ^ ab Greene, Andrew (23 сентября 2022 г.). «Optus отвергает инсайдерские заявления о «человеческой ошибке» как возможном факторе взлома, затронувшего миллионы австралийцев». ABC News . Архивировано из оригинала 24 сентября 2022 г. Получено 16 мая 2023 г.
  10. ^ Бело, Генри (24 сентября 2022 г.). «AFP отслеживает темную паутину на фоне заявлений о том, что украденные данные Optus могут продаваться в Интернете». ABC News . Архивировано из оригинала 18 мая 2023 г. Получено 16 мая 2023 г.
  11. ^ abc Maguire, Dannielle (27 сентября 2022 г.). «Предполагаемый хакер принес свои „глубочайшие извинения“ Optus. Вот последние новости об утечке данных». ABC News . Архивировано из оригинала 3 октября 2022 г. . Получено 16 мая 2023 г. .
  12. ^ Эванс, Джейк (26 сентября 2022 г.). «Министр внутренних дел заявил, что Optus «оставил окно открытым» для киберпреступников». ABC News . Архивировано из оригинала 27 сентября 2022 г. Получено 16 мая 2023 г.
  13. ^ Эванс, Джейк (6 октября 2022 г.). «Optus получил временные полномочия делиться скомпрометированными данными с банками после взлома». ABC News . Архивировано из оригинала 9 октября 2022 г. Получено 17 мая 2023 г.
  14. ^ abcd Crozier, Ry. «Services Australia борется за оценку подверженности утечке данных Optus». iTnews . Архивировано из оригинала 18 мая 2023 г. Получено 18 мая 2023 г.
  15. ^ Спирс, Дэвид; Грин, Эндрю (28 сентября 2022 г.). «Федеральное правительство представит новые меры безопасности после масштабной утечки данных Optus». ABC News . Архивировано из оригинала 17 мая 2023 г. Получено 17 мая 2023 г.
  16. ^ ab Evans, Jake (26 февраля 2023 г.). «Федеральное правительство перепишет законы о кибербезопасности после взломов Optus и Medibank». ABC News . Архивировано из оригинала 17 мая 2023 г. Получено 17 мая 2023 г.
  17. ^ Садлер, Денхэм. «Правительство запускает Национальное управление кибербезопасности». Information Age . Получено 3 января 2024 г.
  18. ^ ACSM Admin (23 июня 2023 г.). "Новый национальный координатор по кибербезопасности Австралии - Australian Cyber ​​Security Magazine" . Получено 3 января 2024 г. .
  19. ^ Байковски, Джулиан (15 ноября 2023 г.). «Национальный координатор по кибербезопасности О'Нила отправлен обратно в Министерство обороны». The Mandarin . Получено 3 января 2024 г.
  20. ^ Фостер, Джеффри (28 февраля 2023 г.). «У Австралии новая повестка дня в области кибербезопасности. В ее основе лежат два ключевых вопроса». The Conversation . Архивировано из оригинала 19 мая 2023 г. . Получено 19 мая 2023 г. .
  21. ^ Йосуфзай, Рашида; Бахр, Джессика. «Утечка данных Optus: что делать с заменой водительских прав и паспорта». SBS News . Архивировано из оригинала 20 мая 2023 г. Получено 20 мая 2023 г.
  22. ^ Коуи, Том (29 октября 2022 г.). «VicRoads выдаст почти 1 миллион бесплатных водительских прав после взлома Optus». The Age . Архивировано из оригинала 20 мая 2023 г. . Получено 20 мая 2023 г. .
  23. ^ Коуи, Том (29 октября 2022 г.). «VicRoads выдаст почти 1 миллион бесплатных водительских прав после взлома Optus». The Age . Архивировано из оригинала 3 июня 2023 г. . Получено 15 июня 2023 г. .
  24. ^ Смит, Пол (21 декабря 2022 г.). «Внутри взлома Optus, который разбудил Австралию». Australian Financial Review . Архивировано из оригинала 20 мая 2023 г. Получено 20 мая 2023 г.
  25. ^ ab Branco, Jorge (26 октября 2022 г.). «Контрольному органу по защите конфиденциальности выделено 5,5 млн долларов на расследование киберутечки Optus». www.9news.com.au . Архивировано из оригинала 18 мая 2023 г. . Получено 18 мая 2023 г. .
  26. ^ ab Taylor, Josh (26 сентября 2022 г.). «Клиенты Optus возмущены чат-ботами и «мусорной» коммуникацией после утечки данных». The Guardian . ISSN  0261-3077. Архивировано из оригинала 18 мая 2023 г. Получено 18 мая 2023 г.
  27. ^ ab Samios, Zoe (10 ноября 2022 г.). «Взлом Optus обойдется не менее чем в 140 миллионов долларов». The Sydney Morning Herald . Архивировано из оригинала 13 ноября 2022 г. Получено 18 мая 2023 г.
  28. ^ Конифер, Дэн; Сяо, Элисон; Богл, Ариэль (3 ноября 2022 г.). «Optus обещает оплатить стоимость замены иностранных паспортов, скомпрометированных в результате утечки данных». ABC News . Архивировано из оригинала 3 ноября 2022 г. Получено 20 мая 2023 г.
  29. ^ Crozier, Ry. «Deloitte привлекли для расследования утечки данных Optus». iTnews . Архивировано из оригинала 18 мая 2023 г. Получено 18 мая 2023 г.
  30. ^ ab Muroi, Millie (8 марта 2023 г.). «Босс Optus говорит, что за кибератакой стоит „опытный преступник“, и признает, что телекоммуникационная компания потеряла клиентов». The Sydney Morning Herald . Архивировано из оригинала 20 мая 2023 г. Получено 20 мая 2023 г.
  31. Свон, Дэвид (20 ноября 2023 г.). «Генеральный директор Optus Келли Байер Розмарин уходит в отставку». The Sydney Morning Herald . Получено 3 января 2024 г.
  32. ^ Лэпхэм, Джейк (6 октября 2022 г.). «Подросток из Сиднея потребовал 2000 долларов от клиентов Optus в рамках мошенничества с утечкой данных, сообщает AFP». ABC News . Архивировано из оригинала 6 октября 2022 г. . Получено 17 мая 2023 г. .
  33. ^ Guelas, Joanna (7 февраля 2023 г.). «Житель Сиднея избежал тюрьмы за мошеннические текстовые сообщения, используя данные взлома Optus». www.9news.com.au . Архивировано из оригинала 20 мая 2023 г. . Получено 20 мая 2023 г. .
  34. ^ Борис, Стефани (11 октября 2022 г.). «Optus сталкивается с новыми проверками по поводу взлома данных, может быть вынужден выплатить миллионы в качестве компенсации». ABC News . Архивировано из оригинала 13 октября 2022 г. Получено 17 мая 2023 г.
  35. ^ Джексон, Льюис (21 апреля 2023 г.). Остерман, Синтия (ред.). «Australia's Optus попал под коллективный иск из-за нарушения кибербезопасности». Reuters . Архивировано из оригинала 17 мая 2023 г. Получено 17 мая 2023 г.
  36. ^ Бонихади, Ник; Эбботт, Лаклан (20 апреля 2023 г.). «Групповой иск против Optus после разрушительного взлома». The Sydney Morning Herald . Архивировано из оригинала 20 мая 2023 г. Получено 20 мая 2023 г.
  37. ^ ab Baird, Lucas (8 марта 2023 г.). «'Нет жертв' взлома данных Optus: генеральный директор». Australian Financial Review . Получено 4 октября 2023 г. .
  38. ^ Tarabay, Jamie (20 сентября 2023 г.). «Массовая атака австралийских программ-вымогателей заставила жертв требовать ответов». Bloomberg.com . Получено 4 октября 2023 г. .
  39. ^ Тейлор, Джош (10 ноября 2023 г.). «Optus проигрывает судебный процесс по сохранению в тайне отчета о кибератаке 2022 года». The Guardian . ISSN  0261-3077 . Получено 7 марта 2024 г.
Получено с "https://en.wikipedia.org/w/index.php?title=2022_Optus_data_breach&oldid=1273555599"