En kund väntar på service i en Optus-telefonbutik i Sydney, Australien, torsdagen den 7 oktober 2021. Den australiensiska regeringen sade måndagen den 26 september 2022 att den övervägde hårdare cybersäkerhetsregler för telekommunikationsföretag efter Optus, landets näst största trådlösa operatören, rapporterade personuppgifter om 9,8 miljoner kunder hade brutits. Kredit:AP Photo/Mark Baker, Arkiv
Den australiensiska regeringen sa på måndagen att den överväger hårdare cybersäkerhetsregler för telekommunikationsföretag och anklagade Optus, landets näst största trådlösa operatör, för ett aldrig tidigare skådat intrång i personuppgifter från 9,8 miljoner kunder.
Optus sa i torsdags att de hade blivit medvetna dagen innan om cyberattacken som fick information om 9,8 miljoner människor – av Australiens befolkning på 26 miljoner.
Cybersäkerhetsminister Clare O'Neil sa till Australian Broadcasting Corp. att hacket var en "oöverträffad stöld av konsumentinformation i Australiens historia."
För 2,8 miljoner nuvarande och tidigare Optus-kunder involverade intrånget "betydande mängder personuppgifter", inklusive körkort och passnummer, sa O'Neil.
Dessa 2,8 miljoner människor löper stor risk för identitetsvänster och bedrägeri, sa hon.
"Brottet är av en karaktär som vi inte bör förvänta oss att se hos en stor telekommunikationsleverantör i det här landet", sa O'Neil till parlamentet.
I vissa länder skulle ett sådant brott resultera i böter "uppgående till hundratals miljoner dollar", sa O'Neil.
Australisk lag tillåter för närvarande inte att Optus får böter för överträdelsen.
"En mycket omfattande reformuppgift kommer att uppstå från ett brott mot denna skala och storlek", sa O'Neil.
"En viktig fråga är om de krav på cybersäkerhet som vi ställer på stora telekommunikationsleverantörer i det här landet är lämpliga för ändamålet", tillade hon.
Den australiska federala polisen sa i ett uttalande att rapporter om att de stulna uppgifterna redan hade sålts under utredning.
Australiska utredare arbetar med utländska brottsbekämpande myndigheter för att fastställa vem som låg bakom attacken och för att skydda allmänheten från identitetsbedrägerier, heter det i uttalandet.
"För att skydda brottsutredningens integritet kommer AFP inte att avslöja vilken information den har erhållit under de första dagarna", sa polisen.
Jeremy Kirk, en Sydney-baserad cybersäkerhetsskribent, sa att han använde ett onlineforum för brottslingar som handlar med stulna data för att fråga någon som påstod sig ha laddat ner Optus-informationen hur den fick åtkomst.
Optus verkade ha lämnat ett applikationsprogrammeringsgränssnitt, en mjukvara känd som ett API som tillåter andra system att kommunicera och utbyta data, öppet för allmänheten, sa hon.
"Det ser ut som att det var ett misslyckande med att säkra mjukvarusystemet, så vem som helst på internet kunde hitta det", sa Kirk till Ten Network television.
O'Neil beskrev inte hur intrånget inträffade, men beskrev det som ett "ganska grundläggande hack."
Optus hade "i praktiken lämnat fönstret öppet för att data av denna typ skulle kunna bli stulen", sa hon.
O'Neil uppmanade Optus att erbjuda utsatta kunder gratis kreditövervakning för att skydda dem från identitetsstöld, en begäran som det Sydney-baserade företaget efterkom senare på måndagen.
Optus meddelade att de erbjuder sina "mest drabbade" kunder gratis 12-månadersprenumerationer på Equifax Protect, en tjänst för kreditövervakning och identifiering.
Optus sa att informationen som hade nåtts av en oidentifierad tredje part inkluderade kunders namn, födelsedatum, telefonnummer och e-postadresser.
Polisen och andra statliga säkerhetsmyndigheter arbetade under helgen för att skydda berörda kunder, sa O'Neil.
Statliga myndigheter arbetade också med banksektorn för att skydda kunderna.
"Det här är komplext. Det är juridiskt och tekniskt komplicerat, men vi arbetar på en lösning", sa O'Neil.
Premiärminister Anthony Albanese beskrev intrånget som ett "stort väckarklocka för företagssektorn."
Albany förebådade potentiella förändringar av integritetsbestämmelserna så att banker kan gå snabbare för att skydda sina egna kunder efter ett sådant brott.
"Vi vet att det i dagens värld finns aktörer - vissa statliga aktörer, men också vissa kriminella organisationer - som vill få tillgång till människors data", sa Albanese.
Optus vd Kelly Bayer Rosmarin sa i ett uttalande förra veckan att "Vi är förkrossade över att upptäcka att vi har varit utsatta för en cyberattack som har resulterat i avslöjandet av våra kunders personliga information till någon som inte borde se den." + Utforska vidare
© 2022 Associated Press. Alla rättigheter förbehållna. Detta material får inte publiceras, sändas, skrivas om eller omdistribueras utan tillstånd.
