הנציבות האוסטרלית לניירות ערך והשקעות (ASIC) שלחה מייל אזהרה למתווכים בשוק הפיננסי האוסטרלי, כולל ברוקרים, מפני הסיכונים של "גניבת זהות והונאה" אפשרית בתוך הפרת המידע של Optus.
עותק של המייל שנראה על ידי האוצר מגנטים ביקשו מהמתווכים בשוק להיות "עירניים במיוחד באימות וניהול המידע האישי של הלקוחות".
האוצר מגנטים פנו גם לברוקרים מרובים כדי לדעת את מוכנותם מול ה- ASIC אזהרה, עם זאת, לפחות אחד אישר שהוא לא קיבל את האימייל של ה-ASIC.
הפרת נתונים מסיבית
Optus היא ספקית שירותי הטלקום השנייה בגודלה באוסטרליה. החברה עוררה סערה בארץ בתחילת השבוע לאחר שחשפה כי נתונים אישיים של עד 10 מיליון לקוחות נפגעו, הכוללות כתובות בית, רישיונות נהיגה ומספרי דרכונים.
זו הייתה הפרת הנתונים הגדולה ביותר לפי קנה מידה אוסטרליה.
זה לא היה "פריצה". אופטוס ממש השאיר את הדלת פתוחה לרווחה. העבריין פשוט השתמש בחיבור שלא היה מוגן בסיסמה כדי להוריד את הנתונים.
זה סיפור גדול יותר מפריצה.
אופטוס אשמים מכיוון שהנתונים היו חשופים ולא מוגנים.
זה לא נפרץ.
— 𝗝𝗮𝘀𝗼𝗻 𝗝𝗼𝗿𝗱𝗮𝗻 (@jasonjordan) ספטמבר 27, 2022
ההאקר ביקש בתחילה מיליון דולר ככופר מהחברה ואיים לפרסם 1 לקוחות Optus בכל יום עד שהכסף יתקבל. עם זאת, חשבון מקוון אנונימי שהתיימר להיות ההאקר הסיר את דרישת הכופר לאחרונה והבטיח את מחיקת הנתונים שנפגעו.
"בשלב זה, נראה שהפרת הנתונים מוגבלת ללקוחות קמעונאיים (ואפשר לעסקים קטנים), בעוד שחשבונות ארגוניים לא נפגעים", נכתב באימייל של ASIC.
סופי גרבר, TRAction Fintech
"המייל מ ASIC זה מאוד נבון בהתחשב בהיקף הפרת הנתונים של Optus", אמרה סופי גרבר, מייסדת ומנכ"לית משותפת של TRAction ל-Finance Magnates. "למרות שזה נשלח לתת-קבוצה של מחזיקי AFSL, זה באמת חל באופן שווה על כל העסקים העוסקים באוסטרלים ללא קשר לשאלה אם הם עוסקים בשירותים פיננסיים."
"למרות שנטען שהנתונים שנפרצו נמחקו כעת, אין ספק שיש רמה של ספקנות בהתחשב באופי הצד המעורב".
ואכן, Optus גם הסכימה לשאת בעלות של מיליוני דולרים של שינוי מספר רישיון הנהיגה של אוסטרלים שנפגעו מהפרת הנתונים.
מוקדם יותר, ASIC גם הבהירה כי היא מצפה מכל משתתפי השוק המפוקחים "לטפל בסיכון סייבר כחלק מרישיון ה-AFS שלהם חובות ." עם זאת, הרגולטור אינו ממליץ על תקנים טכניים או הנחיית מומחים כחלק מדרישות הרישיון לשירותים פיננסיים באוסטרליה.
"ASIC פרסמה מספר לא מבוטל של פרסומים בתקשורת על אבטחת סייבר, ובשילוב עם ה-RI Advice, הם מראים את רמת הבדיקה המופעלת על נושאים אלה. מחזיקי AFSL צריכים לנקוט בצעדים אקטיביים כדי לנהל באופן אקטיבי את תהליכי אבטחת הסייבר ואימות הזהות שלהם, להישאר מעודכנים בכל ההתפתחויות ולהסתגל בהתאם", הוסיפה גרבר.
הנציבות האוסטרלית לניירות ערך והשקעות (ASIC) שלחה מייל אזהרה למתווכים בשוק הפיננסי האוסטרלי, כולל ברוקרים, מפני הסיכונים של "גניבת זהות והונאה" אפשרית בתוך הפרת המידע של Optus.
עותק של המייל שנראה על ידי האוצר מגנטים ביקשו מהמתווכים בשוק להיות "עירניים במיוחד באימות וניהול המידע האישי של הלקוחות".
האוצר מגנטים פנו גם לברוקרים מרובים כדי לדעת את מוכנותם מול ה- ASIC אזהרה, עם זאת, לפחות אחד אישר שהוא לא קיבל את האימייל של ה-ASIC.
הפרת נתונים מסיבית
Optus היא ספקית שירותי הטלקום השנייה בגודלה באוסטרליה. החברה עוררה סערה בארץ בתחילת השבוע לאחר שחשפה כי נתונים אישיים של עד 10 מיליון לקוחות נפגעו, הכוללות כתובות בית, רישיונות נהיגה ומספרי דרכונים.
זו הייתה הפרת הנתונים הגדולה ביותר לפי קנה מידה אוסטרליה.
זה לא היה "פריצה". אופטוס ממש השאיר את הדלת פתוחה לרווחה. העבריין פשוט השתמש בחיבור שלא היה מוגן בסיסמה כדי להוריד את הנתונים.
זה סיפור גדול יותר מפריצה.
אופטוס אשמים מכיוון שהנתונים היו חשופים ולא מוגנים.
זה לא נפרץ.
— 𝗝𝗮𝘀𝗼𝗻 𝗝𝗼𝗿𝗱𝗮𝗻 (@jasonjordan) ספטמבר 27, 2022
ההאקר ביקש בתחילה מיליון דולר ככופר מהחברה ואיים לפרסם 1 לקוחות Optus בכל יום עד שהכסף יתקבל. עם זאת, חשבון מקוון אנונימי שהתיימר להיות ההאקר הסיר את דרישת הכופר לאחרונה והבטיח את מחיקת הנתונים שנפגעו.
"בשלב זה, נראה שהפרת הנתונים מוגבלת ללקוחות קמעונאיים (ואפשר לעסקים קטנים), בעוד שחשבונות ארגוניים לא נפגעים", נכתב באימייל של ASIC.
סופי גרבר, TRAction Fintech
"המייל מ ASIC זה מאוד נבון בהתחשב בהיקף הפרת הנתונים של Optus", אמרה סופי גרבר, מייסדת ומנכ"לית משותפת של TRAction ל-Finance Magnates. "למרות שזה נשלח לתת-קבוצה של מחזיקי AFSL, זה באמת חל באופן שווה על כל העסקים העוסקים באוסטרלים ללא קשר לשאלה אם הם עוסקים בשירותים פיננסיים."
"למרות שנטען שהנתונים שנפרצו נמחקו כעת, אין ספק שיש רמה של ספקנות בהתחשב באופי הצד המעורב".
ואכן, Optus גם הסכימה לשאת בעלות של מיליוני דולרים של שינוי מספר רישיון הנהיגה של אוסטרלים שנפגעו מהפרת הנתונים.
מוקדם יותר, ASIC גם הבהירה כי היא מצפה מכל משתתפי השוק המפוקחים "לטפל בסיכון סייבר כחלק מרישיון ה-AFS שלהם חובות ." עם זאת, הרגולטור אינו ממליץ על תקנים טכניים או הנחיית מומחים כחלק מדרישות הרישיון לשירותים פיננסיים באוסטרליה.
"ASIC פרסמה מספר לא מבוטל של פרסומים בתקשורת על אבטחת סייבר, ובשילוב עם ה-RI Advice, הם מראים את רמת הבדיקה המופעלת על נושאים אלה. מחזיקי AFSL צריכים לנקוט בצעדים אקטיביים כדי לנהל באופן אקטיבי את תהליכי אבטחת הסייבר ואימות הזהות שלהם, להישאר מעודכנים בכל ההתפתחויות ולהסתגל בהתאם", הוסיפה גרבר.
