Australien overvejer skrappere cybersikkerhedslove efter databrud

Den australske regering sagde mandag, at den overvejer skrappere cybersikkerhedsregler for teleselskaber og beskyldte Optus, landets næststørste trådløse udbyder, for et hidtil uset brud på personlige data fra 9,8 millioner kunder.

Optus sagde sidste torsdag, at de dagen før var blevet opmærksomme på cyberangrebet, som fik oplysningerne om 9,8 millioner mennesker – af Australiens befolkning på 26 millioner.

Cybersikkerhedsminister Clare O'Neil fortalte Australian Broadcasting Corp., at hacket var et "hidtil uset tyveri af forbrugerinformation i australsk historie."

For 2,8 millioner nuværende og tidligere Optus-kunder involverede bruddet "betydelige mængder af personlige data", herunder kørekort og pasnumre, sagde O'Neil.

Disse 2,8 millioner mennesker er i betydelig risiko for at blive efterladt af identitet og svindel, sagde hun.

"Bruden er af en karakter, som vi ikke bør forvente at se hos en stor teleudbyder i dette land," sagde O'Neil til Parlamentet.

I nogle lande ville et sådant brud resultere i bøder "beløb på hundreder af millioner af dollars," sagde O'Neil.

Australsk lov tillader i øjeblikket ikke, at Optus kan idømmes en bøde for bruddet.

"En meget omfattende reformopgave vil dukke op ved et brud på denne skala og størrelse," sagde O'Neil.

"Et væsentligt spørgsmål er, om de cybersikkerhedskrav, som vi stiller til store teleudbydere i dette land, er egnede til formålet," tilføjede hun.

Det australske føderale politi sagde i en erklæring, at rapporter om, at de stjålne data allerede var blevet solgt, var under efterforskning.

Australske efterforskere arbejder sammen med oversøiske retshåndhævende myndigheder for at afgøre, hvem der stod bag angrebet og for at hjælpe med at beskytte offentligheden mod identitetssvindel, hedder det i erklæringen.

"For at beskytte integriteten af ​​den kriminelle efterforskning, vil AFP ikke afsløre, hvilke oplysninger den har indhentet i de første par dage af efterforskningen," sagde politiet.

Jeremy Kirk, en Sydney-baseret cybersikkerhedsforfatter, sagde, at han brugte et onlineforum for kriminelle, der handler med stjålne data, til at spørge en person, der hævdede at have downloadet Optus-oplysningerne, hvordan de blev tilgået.

Optus så ud til at have efterladt en applikationsprogrammeringsgrænseflade, et stykke software kendt som en API, der tillader andre systemer at kommunikere og udveksle data, åbent for offentligheden, sagde hun.

"Det ser ud til, at det var en fejl i at sikre softwaresystemet, så enhver på internettet kunne finde det," fortalte Kirk til Ten Network tv.

O'Neil beskrev ikke, hvordan bruddet opstod, men beskrev det som et "ganske grundlæggende hack."

Optus havde "effektivt ladet vinduet stå åbent, så data af denne art kunne blive stjålet," sagde hun.

O'Neil opfordrede Optus til at tilbyde kompromitterede kunder gratis kreditovervågning for at beskytte dem mod identitetstyveri, en anmodning som det Sydney-baserede selskab efterkom senere på mandag.

Optus annoncerede, at de tilbyder sine "mest berørte" kunder gratis 12-måneders abonnementer på Equifax Protect, en kreditovervågnings- og identifikationsbeskyttelsestjeneste.

Optus sagde, at de oplysninger, der var blevet tilgået af en uidentificeret tredjepart, omfattede kunders navne, fødselsdatoer, telefonnumre og e-mailadresser.

Politi og andre offentlige sikkerhedsmyndigheder arbejdede gennem weekenden for at beskytte berørte kunder, sagde O'Neil.

Regeringsorganer arbejdede også med banksektoren for at beskytte kunderne.

"Dette er komplekst. Det er juridisk og teknisk komplekst, men vi arbejder på en løsning," sagde O'Neil.

Premierminister Anthony Albanese beskrev bruddet som et "enormt wake-up call for erhvervslivet."

Albany varslede potentielle ændringer af privatlivsbestemmelserne, så banker kan bevæge sig hurtigere for at beskytte deres egne kunder efter et sådant brud.

"Vi ved, at der i dagens verden er aktører - nogle statslige aktører, men også nogle kriminelle organisationer - som ønsker at få adgang til folks data," sagde Albanese.

Optus administrerende direktør Kelly Bayer Rosmarin sagde i en erklæring i sidste uge, at "Vi er knuste over at opdage, at vi har været udsat for et cyberangreb, der har resulteret i videregivelsen af ​​vores kunders personlige oplysninger til nogen, der ikke burde se dem." + Udforsk yderligere

Sådan fortæller du ikke kunderne, at deres data er i fare:Farerne ved Optus-tilgangen

© 2022 The Associated Press. Alle rettigheder forbeholdes. Dette materiale må ikke offentliggøres, udsendes, omskrives eller videredistribueres uden tilladelse.