黑客已经公布了超过1万条Optus客户的私人信息,如果后者不支付100万澳元的赎金,将继续公布更多私人信息。
黑客威胁称,除非满足赎金要求,否则将在4天内,每天公布1万条私人信息。
Optus此前遭到黑客入侵,造成大规模信息泄露。据估计,有多达980万名当前和以前的客户受到了影响。
(图片来源:《每日邮报》)
网络安全记者Jeremy Kirk在Twitter上分享了黑客的赎金要求截图。
该消息称,如果支付100万澳元,那么将删除数据,而且也不会被出售。如果不支付赎金,在接下来的4天里,每天将发布1万条记录。
(图片来源:《每日邮报》)
据了解,医疗保险的号码也可能被曝光,政府称这一事件是企业的重大失败。
在周二的Today Show节目中,Kirk说,他曾亲自与黑客接触过,因为他发现黑客在一个在线论坛上吹嘘自己的数据。
他解释说,黑客设法访问了Optus的API(应用编程接口)——一套在不同软件系统之间进行连接的代码。
Kirk解释说,在任何账户上,当你点击“账户详情”时,它会从后台工作的API返回数据,以获取这些数据。
“你这样做的时候,你已经登录了你的账户,你不可能篡改URL,并突然看到我的数据,因为这将是一个巨大的安全问题。这个黑客找到了Optus的API,无需要登录任何账号。这个人搞清楚了API的运作方式,并返回数据,然后依次下载了1000万条Optus的客户信息。我们作为消费者,不得不把我们的个人数据交给他们。而作为交换,我们当然希望公司不惜一切代价保护这些数据。”
网络助理专员Justine Gough说,调查数据泄露的来源将会非常复杂。
“我们知道,有消息称被盗数据在暗网中被出售,这也是澳洲联邦调查局正在使用一系列专业能力监测暗网的原因。使用假名和匿名技术的犯罪分子看不到我们,但我可以告诉你,我们可以看到他们。”
(图片来源:网络)
Gough表示,在Optus公司信息遭泄后,客户应该更加警惕地监控未经请求的短信、电子邮件和电话。
《每日邮报》称,Slater & Gordon律师事务所正在考虑,是否代表之前和当前受影响的客户对Optus发起集体诉讼。
集体诉讼资深律师Ben Zocco说,信息泄露对弱势群体构成了风险,包括家庭暴力的幸存者和被跟踪的受害者。
他补充说,对其他客户来说,后果可能不那么严重,但这些信息很容易导致被人仿冒身份。
内政部长Clare O'Neil在国会发言时,对Optus公司进行了严厉的抨击。
她说,责任完全在这家电信巨头身上,政府正在研究如何减轻影响。
Optus已经宣布,将为受影响最大的客户提供为期12个月的Equifax Protect的免费信用监测服务。
O'Neil说,政府正在寻求与金融监管机构和银行合作,以了解可以采取哪些措施来保护受影响的客户。
总理Anthony Albanese称,Optus的数据泄露事件是一个“巨大的警钟”。
在政府准备引入新的网络安全措施之际,Albanese说,“新的保护措施将意味着银行和其他机构在发生数据泄露时将被更快地告知,这样个人数据就不会被滥用。”