นายกรัฐมนตรีออสเตรเลีย สั่งยกเครื่องกฎหมายความเป็นส่วนตัวใหม่ หลังบริษัทโทรคมนาคมโดนแฮกฐานข้อมูลครั้งใหญ่ ซึ่งมีฐานลูกค้ากว่า 40% ของประชากร
หลังจากการรั่วไหลของข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์ของออสเตรเลีย ทำให้รัฐบาลออสเตรเลียกำลังวางแผนที่จะเข้มงวดขึ้นในข้อกำหนดสำหรับการเปิดเผยการโจมตีทางไซเบอร์
แอนโธนี อัลบานีส (Anthony Albanese) นายกรัฐมนตรีออสเตรเลีย เผยว่า รัฐบาลตั้งใจที่จะยกเครื่องกฎหมายความเป็นส่วนตัว เพื่อให้บริษัทใดก็ตามที่ประสบปัญหาการแฮกข้อมูล จำเป็นต้องแบ่งปันรายละเอียดกับธนาคารเกี่ยวกับลูกค้าที่อาจได้รับผลกระทบเพื่อลดการฉ้อโกง
ภายใต้กฎหมายความเป็นส่วนตัวของออสเตรเลียในปัจจุบัน บริษัทต่าง ๆ จะถูกป้องกันมิให้เปิดเผยรายละเอียดดังกล่าวเกี่ยวกับลูกค้าของตนกับบุคคลที่สาม
การประกาศนโยบายดังกล่าวเกิดขึ้นหลังจากเกิดการแฮกข้อมูลครั้งใหญ่เมื่อสัปดาห์ที่แล้ว ซึ่งส่งผลกระทบต่อ Optus บริษัทโทรคมนาคมที่ใหญ่เป็นอันดับสองของออสเตรเลีย แฮ็กเกอร์สามารถเข้าถึงข้อมูลที่มีความละเอียดอ่อนจำนวนมากจากลูกค้า Optus ได้มากถึง 9.8 ล้านราย หรือเกือบ 40% ของประชากรออสเตรเลีย ข้อมูลที่รั่วไหล ได้แก่ ชื่อ วันเกิด ที่อยู่ ข้อมูลติดต่อ และในบางกรณี หมายเลขใบอนุญาตขับรถหรือหนังสือเดินทาง
เนื้อหาที่เกี่ยวข้อง :
การแฮกอาจเป็นผลมาจากอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (Application Programming Interface: API) ที่มีการรักษาความปลอดภัยอย่างไม่เหมาะสมซึ่ง Optus พัฒนาขึ้นเพื่อให้สอดคล้องกับระเบียบข้อบังคับเกี่ยวกับการให้ตัวเลือกการตรวจสอบสิทธิ์แบบหลายปัจจัยแก่ผู้ใช้
บุคคลที่อ้างว่าเป็นแฮ็กเกอร์ Optus ดูเหมือนจะยืนยันบัญชีนี้เกี่ยวกับการแฮกข้อมูลในการสนทนากับ เจเรมี่ เคิร์ก (Jeremy Kirk) นักข่าวด้านความปลอดภัยทางไซเบอร์
UPDATE: I reached the person who claims to have hacked Optus. I've also been contacted by a second, separate source who says the hacker's version of events is approximately correct. Here's what they said. #OptusHack #infosec #auspol
— Jeremy Kirk (@Jeremy_Kirk) September 24, 2022
ตามรายละเอียดที่แฮ็กเกอร์สันนิษฐานให้เคิร์ก ข้อมูลถูกดาวน์โหลดโดยการค้นหา API ตามลำดับสำหรับแต่ละค่าของฟิลด์ตัวระบุที่ไม่ซ้ำกันที่ระบุว่า "Contactid" และบันทึกข้อมูลของผู้ใช้แต่ละคนทีละรายการจนกว่าจะมีการรวบรวมชุดข้อมูลหลายล้านระเบียน
โพสต์จากบุคคลเดียวกันในฟอรัมแฮ็คยอดนิยมอ้างว่าเสนอข้อมูลผู้ใช้เพื่อขายในราคา 150,000 ดอลลาร์ (5.68 ]ล้านบาท) และระบุราคากรรโชก 1 ล้านดอลลาร์ (37 ล้านบาท) เพื่อรักษาข้อมูลให้เป็นส่วนตัว โดยจะจ่ายเป็นสกุลเงินดิจิทัล Monero
แฮ็กเกอร์ยังปล่อย "ไฟล์ตัวอย่าง" ฟรีจำนวนหนึ่ง ซึ่งระบุว่ามีข้อมูลที่อยู่แบบเต็มของผู้ใช้ Optus จำนวน 10,000 ราย
เมื่อสถานการณ์คลี่คลาย ลูกค้า Optus จำนวนมากใช้โซเชียลมีเดียเพื่อแสดงความไม่พอใจกับวิธีจัดการแฮกเกอร์ โดยเฉพาะอย่างยิ่งในการแจ้งผู้ใช้ที่ได้รับผลกระทบว่าข้อมูลของพวกเขามีความเสี่ยง
"น่าทึ่งที่ Optus สามารถส่งอีเมลถึงผมได้เมื่อผมมาช้าไปหนึ่งวันในการจ่ายเงิน แต่ไม่ใช่เมื่อพวกเขาสูญเสียข้อมูลส่วนบุคคลทั้งหมดของผมในการแฮ็กทางไซเบอร์ครั้งใหญ่" แพทริค เคเนลลี่ (Patrick Keneally) บรรณาธิการข่าวของ Guardian Australia ทวีตหลังจากการแฮกข้อมูล