Um cliente aguarda atendimento em uma loja de telefones Optus em Sydney, Austrália, quinta-feira, 7 de outubro de 2021. O governo australiano disse na segunda-feira, 26 de setembro de 2022, que estava considerando regras de segurança cibernética mais rígidas para empresas de telecomunicações após a Optus, segunda maior operadora sem fio, relatou que dados pessoais de 9,8 milhões de clientes foram violados. Crédito:AP Photo/Mark Baker, Arquivo
A polícia australiana estava investigando a liberação de um suposto hacker dos dados pessoais roubados de 10.000 clientes da segunda maior operadora de telefonia móvel do país e a demanda por um resgate de US$ 1 milhão em criptomoeda, disse o presidente-executivo da empresa na terça-feira.
O governo australiano culpou a falta de segurança cibernética na Optus pela violação sem precedentes na semana passada dos dados pessoais de 9,8 milhões de clientes atuais e antigos.
Jeremy Kirk, um escritor de segurança cibernética de Sydney, disse que o suposto hacker, que usa o nome online Optusdata, divulgou 10.000 registros de clientes Optus na dark web e ameaçou liberar outros 10.000 todos os dias pelos próximos quatro dias, a menos que a Optus pague o resgate. .
Questionado se o hacker havia ameaçado vender os dados restantes se a Optus não pagasse os US$ 1 milhão em uma semana, o executivo-chefe da empresa, Kelly Bayer Rosmarin, disse à Australian Broadcasting Corp. teia escura."
A Polícia Federal Australiana disse na segunda-feira que seus investigadores estavam trabalhando com agências estrangeiras, incluindo o FBI, para determinar quem estava por trás do ataque e ajudar a proteger o público contra fraudes de identidade. A polícia se recusou a fazer mais comentários na terça-feira, pois as investigações estavam em andamento.
"Eles estão analisando todas as possibilidades e estão usando o tempo disponível para ver se podem rastrear esse criminoso em particular e verificar se eles são de boa fé", disse Bayer Rosmarin.
Kirk escreveu em seu site Bank Info Security que a Optusdata posteriormente excluiu a postagem junto com três amostras dos dados roubados.
A Optusdata enviou a Kirk um link para uma nova postagem que retirou o pedido de resgate, alegou que os dados roubados foram excluídos e pediu desculpas à Optus e a seus clientes.
"Muitos olhos. Não vamos vender (sic) dados para ninguém", dizia o post, acrescentando que a Optus não pagou resgate.
Kirk disse que perguntou por que a Optusdata mudou de ideia, mas não recebeu resposta.
A comissária australiana de informação e privacidade, Angelene Falk, a autoridade nacional de proteção de dados, disse que o último post "indica ... que este é um incidente muito rápido".
"É um grande incidente de grande preocupação para a comunidade. O que precisamos focar aqui é garantir que todas as etapas sejam mantidas para proteger as informações pessoais da comunidade de mais riscos de danos", disse Falk.
O consultor de segurança da Web, Troy Hunt, suspeitava que o pedido de desculpas tivesse vindo do hacker. Mas ele não aceitou que os dados agora estivessem seguros.
"A questão agora é o que acontece a seguir? Não teremos mais notícias desse indivíduo? Os dados aparecerão em um volume maior amanhã, na próxima semana, possivelmente daqui a alguns anos?" disse Hunt.
Pelo menos um dos 10.000 clientes da Optus cujos dados foram divulgados na dark web na terça-feira recebeu uma mensagem de texto supostamente do hacker exigindo um resgate de 2.000 dólares australianos (US$ 1.300), informou a Nine Network News em Sydney.
"Suas informações serão vendidas e usadas para atividades fraudulentas dentro de dois dias ou até que um pagamento de AU$ 2.000 seja feito", dizia o texto, incluindo detalhes de uma conta bancária australiana em nome Optusdata.
O alvo da extorsão, identificado apenas como Belinda e descrito como mãe de uma criança de 5 anos com câncer, disse a Nine:"Para ser honesto, não é o que precisamos".
"Acho que eles estão apenas tentando pressionar as pessoas a pagar", disse ela. Nove não informou se pretendia pagar.
Mais cedo na terça-feira, Kirk disse que os dados pessoais divulgados pareciam incluir números de assistência médica, uma forma de identificação não revelada anteriormente publicamente como tendo sido hackeada.
A ministra de segurança cibernética, Clare O'Neil, exortou a Optus a dar prioridade a informar os clientes sobre quais informações foram coletadas.
"Estou incrivelmente preocupado esta manhã com relatos de que informações pessoais da violação de dados da Optus, incluindo números do Medicare, estão sendo oferecidas gratuitamente e por resgate", disse O'Neil. "Os números do Medicare nunca foram aconselhados a fazer parte das informações comprometidas da violação", acrescentou.
O'Neil on Monday described the hack as an "unprecedented theft of consumer information in Australian history."
Of the 9.8 million people affected, 2.8 million had "significant amounts of personal data," including driver's licenses and passport numbers, breached and are at significant risk of identity theft and fraud, she said.
Kirk said he used an online forum for criminals who trade in stolen data to ask Optusdata how the Optus information was accessed.
Optus appeared to have left an application programming interface, a piece of software known as an API that allows other systems to communicate and exchange data, open to the public, Kirk said.
The Australian Financial Review newspaper said the theory that Optus "left open an API" had been widely reported.
Bayer Rosmarin rejected such explanations, but said police had told her not to release details.
"It is not the case of having some sort of completely exposed API sitting out there," Bayer Rosmarin said.
O'Neil didn't detail how the breach occurred, but described it as a "quite a basic hack."
Optus had "effectively left the window open for data of this nature to be stolen," O'Neil said.
+ Explorar mais Australia mulls tougher cybersecurity laws after data breach
© 2022 The Associated Press. Todos os direitos reservados. Este material não pode ser publicado, transmitido, reescrito ou redistribuído sem permissão.