繼澳大利亞歷史上最大的數據泄露事件之一之後,澳大利亞政府正在計劃對網絡攻擊的披露要求展開更嚴格的審查。當地時間周一,該國總理安東尼·阿爾巴尼斯告訴澳大利亞廣播電台4BC,政府打算全面修訂隱私法,以要求任何遭受數據泄露的公司跟銀行分享可能受到影響的客戶的詳細信息從而來減少欺詐。
根據目前的澳大利亞隱私立法,公司不得跟第三方分享有關其客戶的這些細節。
該政策則是在上周發生巨大的數據泄露事件后宣布的,據悉,該事件影響了澳大利亞第二大電信公司Optus。黑客們設法獲取了多達980萬Optus客戶的大量潛在敏感信息–接近澳大利亞人口的40%。泄露的數據包括姓名、出生日期、地址、聯繫信息及在某些情況下駕駛執照或護照的身份證號碼。
ABC News Australia的報道顯示,此次泄露可能是由於Optus開發的API安全不當。據悉,Potus此舉則是為了符合為用戶提供多因素認證選項的規定。
一個自稱是Optus黑客的人在跟安全記者Jeremy Kirk的交談中似乎證實了這一數據泄露的說法。根據這位被認為是黑客的人向Kirk提供的細節,下載數據的方法是按順序查詢API中標有“contactid”字段的每個值並逐一記錄每個用戶的信息,直到彙集成數百萬條記錄的數據集。
同一個人在一個流行的黑客論壇上發了一個帖子,其稱以15萬美元的價格出售用戶數據,另外還列出了100萬美元的勒索價格以保持數據的私密性–以Monero加密貨幣支付。該黑客還發布了一些免費的“樣本文件”,他們說稱這些文件包含1萬名Optus用戶的完整地址信息。
隨着事態的發展,許多Optus客戶在社交媒體上對黑客的處理方式表示不滿,特別是在通知受影響的用戶他們的數據面臨風險方面。