La police australienne enquête sur la prétendue demande de rançon d’un hacker

La police australienne enquête sur la prétendue demande de rançon d'un hacker

Un client attend un service dans un magasin de téléphonie Optus à Sydney, en Australie, le jeudi 7 octobre 2021. Le gouvernement australien a déclaré le lundi 26 septembre 2022 qu’il envisageait des règles de cybersécurité plus strictes pour les entreprises de télécommunications après Optus, la nation deuxième plus grand opérateur de téléphonie mobile, a signalé que les données personnelles de 9,8 millions de clients avaient été piratées. Crédit : AP Photo/Mark Baker, Fichier

La police australienne enquêtait sur la divulgation par un pirate informatique présumé des données personnelles volées de 10 000 clients d’Optus et sur la demande d’une rançon de 1 million de dollars en crypto-monnaie, a déclaré mardi le directeur général de la société de télécommunications.

Le gouvernement australien a blâmé la cybersécurité laxiste du deuxième opérateur de téléphonie mobile du pays pour la violation sans précédent la semaine dernière des données personnelles de 9,8 millions de clients actuels et anciens d’Optus.

Jeremy Kirk, un rédacteur en cybersécurité basé à Sydney, a déclaré que le prétendu pirate informatique, qui utilise le nom en ligne Optusdata, avait publié 10 000 enregistrements de clients Optus sur le dark web et menacé d’en publier 10 000 autres chaque jour pendant les quatre prochains jours à moins qu’Optus ne paie la rançon. .

Lorsqu’on lui a demandé si le pirate informatique avait menacé de vendre les données restantes si Optus ne payait pas le million de dollars dans la semaine, le directeur général de la société, Kelly Bayer Rosmarin, a déclaré à Australian Broadcasting Corp. : “Nous avons vu qu’il y a un message comme celui-là sur le dark web .”

La police fédérale australienne a déclaré lundi que ses enquêteurs travaillaient avec des agences étrangères, dont le FBI, pour déterminer qui était derrière l’attaque et aider à protéger le public contre la fraude d’identité. La police a refusé de commenter davantage mardi alors que les enquêtes étaient en cours.

“Ils examinent toutes les possibilités et utilisent le temps disponible pour voir s’ils peuvent retrouver ce criminel particulier et vérifier s’il est de bonne foi”, a déclaré Bayer Rosmarin.

Kirk a écrit sur son site Web Bank Info Security qu’Optusdata a ensuite supprimé le message ainsi que trois échantillons des données volées.

Optusdata a envoyé à Kirk un lien vers le nouveau message qui a retiré la demande de rançon, a affirmé que les données volées avaient été supprimées et a présenté ses excuses à Optus ainsi qu’à ses clients.

“Trop d’yeux. Nous ne vendrons (sic) de données à personne”, indique le message, ajoutant qu’Optus n’avait pas payé de rançon.

Kirk a dit qu’il avait demandé pourquoi Optusdata avait changé d’avis mais n’avait reçu aucune réponse.

La commissaire australienne à l’information et à la vie privée Angelene Falk, l’autorité nationale de protection des données, a déclaré que le dernier message “indique … qu’il s’agit d’un incident très rapide”.

“Il s’agit d’un incident majeur très préoccupant pour la communauté. Ce sur quoi nous devons nous concentrer ici, c’est de veiller à ce que toutes les mesures soient maintenues pour protéger les informations personnelles de la communauté contre tout risque de préjudice supplémentaire”, a déclaré Falk.

Plus tôt mardi, Kirk a déclaré que les données personnelles publiées semblaient inclure des numéros de soins de santé, une forme d’identification qui n’avait pas été révélée publiquement auparavant comme ayant été piratée.

La ministre de la Cybersécurité, Clare O’Neil, a exhorté Optus à donner la priorité à l’information des clients sur les informations qui ont été prises.

“Je suis extrêmement préoccupé ce matin par les informations selon lesquelles des informations personnelles provenant de la violation de données d’Optus, y compris des numéros d’assurance-maladie, sont désormais proposées gratuitement et contre rançon”, a déclaré O’Neil. “Il n’a jamais été conseillé aux numéros d’assurance-maladie de faire partie des informations compromises suite à la violation”, a-t-elle ajouté.

O’Neil a décrit lundi le piratage comme un “vol sans précédent d’informations sur les consommateurs dans l’histoire australienne”.

Sur les 9,8 millions de personnes concernées, 2,8 millions avaient “des quantités importantes de données personnelles”, y compris des numéros de permis de conduire et de passeport, violées et courent un risque important de vol d’identité et de fraude, a-t-elle déclaré.

Kirk a déclaré qu’il avait utilisé un forum en ligne pour les criminels qui échangent des données volées pour demander à Optusdata comment les informations d’Optus avaient été consultées.

Optus semble avoir laissé une interface de programmation d’application, un logiciel connu sous le nom d’API qui permet à d’autres systèmes de communiquer et d’échanger des données, ouvert au public, a déclaré Kirk.

“Il semble que ce soit un échec de la sécurisation du système logiciel, donc n’importe qui sur Internet pourrait le trouver”, a déclaré Kirk.

L’Australian Financial Review a déclaré que la théorie selon laquelle Optus “laissait ouverte une API” avait été largement rapportée.

Bayer Rosmarin a rejeté ces explications.

“Étant donné que nous n’avons pas le droit de dire grand-chose parce que la police nous a demandé de ne pas le faire, ce que je peux dire – qui, espérons-le, aidera les gens à comprendre que ce n’est pas comme décrit – c’est que nos données ont été cryptées et que nous avons plusieurs couches de protection. “, a déclaré le Bayer Rosmarin.

“Il ne s’agit donc pas d’avoir une sorte d’API complètement exposée”, a-t-elle ajouté.

O’Neil n’a pas détaillé comment la violation s’est produite, mais l’a décrite comme un “hack assez basique”.

Optus avait “en fait laissé la fenêtre ouverte pour que des données de cette nature soient volées”, a déclaré O’Neil.

Le gouvernement australien envisage des règles de cybersécurité plus strictes pour les entreprises de télécommunications à la suite du piratage.

La loi actuelle sur la cyberprotection ne permet pas à Optus d’être condamné à une amende pour la violation, bien que O’Neil ait noté que des amendes de centaines de millions de dollars seraient possibles si cela s’était produit dans d’autres pays.

O’Neil a déclaré qu’une amende potentielle de 2 millions de dollars australiens (1,3 million de dollars) en vertu de la loi sur la protection de la vie privée était insuffisante.


L’Australie réfléchit à des lois plus strictes sur la cybersécurité après une violation de données


© 2022 L’Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: Australian police probe prétendu hacker’s ransom demand (2022, 27 septembre) récupéré le 27 septembre 2022 sur https://techxplore.com/news/2022-09-australian-police-probe-purported-hacker.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.