A Austrália considera leis de segurança cibernética mais rígidas após violação de dados
Um cliente aguarda atendimento em uma loja de telefones Optus em Sydney, Austrália, quinta-feira, 7 de outubro de 2021. O governo australiano disse na segunda-feira, 26 de setembro de 2022, que estava considerando regras de segurança cibernética mais rígidas para empresas de telecomunicações após a Optus, segunda maior operadora sem fio, relatou que dados pessoais de 9,8 milhões de clientes foram violados. Crédito:AP Photo/Mark Baker, Arquivo
O governo australiano disse na segunda-feira que está considerando regras de segurança cibernética mais rígidas para empresas de telecomunicações e culpou a Optus, a segunda maior operadora de telefonia móvel do país, por uma violação sem precedentes de dados pessoais de 9,8 milhões de clientes.
A Optus disse na quinta-feira passada que tomou conhecimento no dia anterior do ataque cibernético que obteve os detalhes de 9,8 milhões de pessoas – da população da Austrália de 26 milhões.
A ministra de segurança cibernética, Clare O'Neil, disse à Australian Broadcasting Corp. que o hack foi um "roubo sem precedentes de informações do consumidor na história australiana".
Para 2,8 milhões de clientes atuais e antigos da Optus, a violação envolveu "quantidades significativas de dados pessoais", incluindo carteiras de motorista e números de passaporte, disse O'Neil.
Esses 2,8 milhões de pessoas correm um risco significativo de perda de identidade e fraude, disse ela.
"A violação é de uma natureza que não devemos esperar ver em um grande provedor de telecomunicações neste país", disse O'Neil ao Parlamento.
Em alguns países, tal violação resultaria em multas "no valor de centenas de milhões de dólares", disse O'Neil.
A lei australiana atualmente não permite que a Optus seja multada pela violação.
"Uma tarefa de reforma muito substancial surgirá de uma violação dessa escala e tamanho", disse O'Neil.
“Uma questão significativa é se os requisitos de segurança cibernética que colocamos em grandes provedores de telecomunicações neste país são adequados para o propósito”, acrescentou.
A Polícia Federal Australiana disse em um comunicado que os relatórios de que os dados roubados já haviam sido vendidos estão sob investigação.
Investigadores australianos estão trabalhando com agências de aplicação da lei no exterior para determinar quem estava por trás do ataque e para ajudar a proteger o público contra fraudes de identidade, disse o comunicado.
"Para proteger a integridade da investigação criminal, a AFP não divulgará as informações que obteve nos primeiros dias" da investigação, disse a polícia.
Jeremy Kirk, um escritor de segurança cibernética de Sydney, disse que usou um fórum online para criminosos que negociam dados roubados para perguntar a alguém que alegou ter baixado as informações da Optus como elas foram acessadas.
A Optus parece ter deixado uma interface de programação de aplicativos, um software conhecido como API que permite que outros sistemas se comuniquem e troquem dados, aberto ao público, disse ela.
"Parece que foi uma falha na segurança do sistema de software, então qualquer pessoa na internet poderia encontrá-lo", disse Kirk à televisão Ten Network.
O'Neil não detalhou como a violação ocorreu, mas a descreveu como um "hack bastante básico".
A Optus "efetivamente deixou a janela aberta para que dados dessa natureza fossem roubados", disse ela.
O'Neil pediu à Optus que ofereça aos clientes comprometidos monitoramento de crédito gratuito para protegê-los contra roubo de identidade, um pedido que a empresa com sede em Sydney atendeu na segunda-feira.
A Optus anunciou que estava oferecendo aos seus clientes "mais afetados" assinaturas gratuitas de 12 meses do Equifax Protect, um serviço de monitoramento de crédito e proteção de identidade.
A Optus disse que as informações que foram acessadas por terceiros não identificados incluem nomes de clientes, datas de nascimento, números de telefone e endereços de e-mail.
A polícia e outras agências de segurança do governo trabalharam durante o fim de semana para proteger os clientes afetados, disse O'Neil.
As agências governamentais também estavam trabalhando com o setor bancário para proteger os clientes.
"Isso é complexo. É legal e tecnicamente complexo, mas estamos trabalhando em uma solução", disse O'Neil.
O primeiro-ministro Anthony Albanese descreveu a violação como um "enorme alerta para o setor corporativo".
Albany previu possíveis mudanças nas disposições de privacidade para que os bancos possam agir mais rapidamente para proteger seus próprios clientes após tal violação.
“Sabemos que no mundo de hoje existem atores – alguns atores estatais, mas também algumas organizações criminosas – que querem ter acesso aos dados das pessoas”, disse Albanese.
A CEO da Optus, Kelly Bayer Rosmarin, disse em comunicado na semana passada que "estamos devastados ao descobrir que fomos sujeitos a um ataque cibernético que resultou na divulgação de informações pessoais de nossos clientes para alguém que não deveria vê-las".
+ Explorar mais Como não informar aos clientes que seus dados estão em risco:os perigos da abordagem Optus
© 2022 The Associated Press. Todos os direitos reservados. Este material não pode ser publicado, transmitido, reescrito ou redistribuído sem permissão.