كانت الشرطة الأسترالية تحقق في إصدار متسلل مزعوم للبيانات الشخصية المسروقة لعشرة آلاف من عملاء Optus والمطالبة بفدية بقيمة مليون دولار (حوالي 8 كرور روبية) بالعملة المشفرة ، حسبما قال الرئيس التنفيذي لشركة الاتصالات السلكية واللاسلكية يوم الثلاثاء.
ألقت الحكومة الأسترالية باللوم على الأمن السيبراني التراخي في ثاني أكبر شركة اتصالات لاسلكية في البلاد في الانتهاك غير المسبوق الأسبوع الماضي للبيانات الشخصية لـ 9.8 مليون عميل حالي وسابق لشركة Optus.
قال جيريمي كيرك ، كاتب الأمن السيبراني ومقره سيدني ، إن المتسلل المزعوم ، الذي يستخدم اسم Optusdata على الإنترنت ، أصدر 10000 سجل عميل Optus على شبكة الويب المظلمة وهدد بإصدار 10000 آخر كل يوم للأيام الأربعة المقبلة ما لم تدفع Optus الفدية .
رداً على سؤال عما إذا كان المتسلل قد هدد ببيع البيانات المتبقية إذا لم تدفع Optus مبلغ المليون دولار في غضون أسبوع ، قال الرئيس التنفيذي للشركة كيلي باير روزمارين لـ Australian Broadcasting Corp: “لقد رأينا أن هناك منشورًا كهذا على شبكة الويب المظلمة . “
وقالت الشرطة الفيدرالية الأسترالية ، الإثنين ، إن محققيها يعملون مع وكالات خارجية ، بما في ذلك مكتب التحقيقات الفيدرالي ، لتحديد من يقف وراء الهجوم وللمساعدة في حماية الجمهور من الاحتيال في الهوية. وامتنعت الشرطة عن الإدلاء بمزيد من التعليقات يوم الثلاثاء لأن التحقيقات لا تزال جارية.
وقالت باير روزمارين: “إنهم يبحثون في كل الاحتمالات ويستخدمون الوقت المتاح لمعرفة ما إذا كان بإمكانهم تعقب هذا المجرم بالتحديد والتحقق مما إذا كان حسن النية”.
كتب كيرك في موقعه الإلكتروني Bank Info Security أن Optusdata حذفت المنشور لاحقًا مع ثلاث عينات من البيانات المسروقة.
أرسلت Optusdata رابطًا إلى كيرك إلى المنشور الجديد الذي سحب طلب الفدية ، وادعى أن البيانات المسروقة قد تم حذفها واعتذر لـ Optus وكذلك عملائها.
“الكثير من العيون. وقال المنشور “لن نبيع (كذا) البيانات لأي شخص” ، مضيفا أن Optus لم تدفع فدية.
قال كيرك إنه سأل لماذا غيرت Optusdata رأيها لكنها لم تتلق أي رد.
وقالت مفوضة المعلومات والخصوصية الأسترالية أنجليني فالك ، الهيئة الوطنية لحماية البيانات ، إن أحدث منشور “يشير إلى … أن هذا حادث سريع الحركة للغاية.”
“إنه حادث كبير يثير قلق المجتمع بشكل كبير. وقال فالك إن ما نحتاج إلى التركيز عليه هنا هو ضمان الحفاظ على جميع الخطوات لحماية المعلومات الشخصية للمجتمع من مزيد من مخاطر الضرر.
في وقت سابق من يوم الثلاثاء ، قال كيرك إن البيانات الشخصية التي تم الإفراج عنها تشمل على ما يبدو أرقام الرعاية الصحية ، وهو شكل من أشكال تحديد الهوية لم يتم الكشف عنه علنًا من قبل تم اختراقه.
حثت وزيرة الأمن السيبراني كلير أونيل شركة Optus على إعطاء الأولوية لإبلاغ العملاء بالمعلومات التي تم الحصول عليها.
قال أونيل: “إنني قلق للغاية هذا الصباح بشأن التقارير التي تفيد بأن المعلومات الشخصية من خرق بيانات Optus ، بما في ذلك أرقام Medicare ، تُعرض الآن مجانًا وبفدية”. وأضافت: “لم يُنصح أبدًا بأرقام ميديكير لتشكل جزءًا من المعلومات المخترقة من الخرق”.
وصف أونيل يوم الإثنين الاختراق بأنه “سرقة غير مسبوقة لمعلومات المستهلك في التاريخ الأسترالي”.
وأضافت أنه من بين 9.8 مليون شخص متضرر ، هناك 2.8 مليون لديهم “كميات كبيرة من البيانات الشخصية” ، بما في ذلك رخص القيادة وأرقام جوازات السفر ، التي تم انتهاكها وهم معرضون لخطر كبير لسرقة الهوية والاحتيال.
قال كيرك إنه استخدم منتدى على الإنترنت للمجرمين الذين يتاجرون بالبيانات المسروقة ليطلب من Optusdata كيفية الوصول إلى معلومات Optus.
قال كيرك إنه يبدو أن Optus تركت واجهة برمجة التطبيقات ، وهي قطعة من البرامج تُعرف باسم API تسمح للأنظمة الأخرى بالاتصال وتبادل البيانات ، وهي مفتوحة للجمهور.
قال كيرك: “يبدو أنه كان فشلًا في تأمين نظام البرنامج ، لذلك يمكن لأي شخص على الإنترنت العثور عليه”.
قالت المجلة المالية الأسترالية إن النظرية القائلة بأن Optus “تركت واجهة برمجة التطبيقات مفتوحة” قد تم نشرها على نطاق واسع.
رفض باير روزمارين مثل هذه التفسيرات.
“نظرًا لأنه لا يُسمح لنا بقول الكثير لأن الشرطة طلبت منا عدم القيام بذلك ، فما يمكنني قوله – آمل أن يساعد الناس على فهم أنه لا يتم تصويره – هو أن بياناتنا تم تشفيرها ولدينا طبقات متعددة من الحماية قال باير روزمارين.
وأضافت: “لذا فليس الأمر يتعلق بوجود نوع من واجهات برمجة التطبيقات المكشوفة تمامًا هناك”.
لم يوضح أونيل كيف حدث الاختراق ، لكنه وصفه بأنه “اختراق أساسي تمامًا”.
قال أونيل إن شركة Optus “تركت النافذة مفتوحة فعليًا لسرقة بيانات من هذا النوع”.
تدرس الحكومة الأسترالية قواعد أكثر صرامة للأمن السيبراني لشركات الاتصالات نتيجة الاختراق.
لا يسمح قانون الحماية الإلكترونية الحالي بفرض غرامة على Optus بسبب الانتهاك ، على الرغم من أن أونيل أشار إلى فرض غرامات بمئات الملايين من الدولارات إذا حدث ذلك في بلدان أخرى.
قال أونيل إن الغرامة المحتملة البالغة 2 مليون دولار أسترالي (حوالي 10 كرور روبية) بموجب قانون الخصوصية غير كافية.