|
澳大利亚知名电信公司Optus数百万用户的个人信息遭黑客窃取后,实施网络攻击的黑客称已公布一万名客户的详细信息。
这起引发全国关注的网络安全事件不断发酵,黑客威胁Optus公司交出100万美元(约155万澳元)的赎金,否则每天都会公布一万名客户的详细资料。
上周四(9月22日),Optus公司证实公司系统遭黑客入侵,数百万名现客户及以往客户的个人信息可能被非法获取。
接受ABC时事节目《7:30》采访时,澳大利亚内政部长兼网络安全部长克莱尔·奥尼尔(Clare O'Neil)称,980万澳大利亚人的个人信息已经被黑客从Optus窃取, 其中有280万澳大利亚人的驾照号码和护照资料被盗。
在澳大利亚历史上,这次客户信息泄露事件的规模之大以及数据内容涉及之广前所未有。
此后,Optus首席执行官凯莉·拜尔·罗斯马林(Kelly Bayer Rosmarin)表示已经注意到暗网上的帖子,联邦警察在全力调查。尽管如此,她表示Optus的数据都已加密,有“多重”保护。
罗斯马林对受影响客户表示歉意,但不清楚具体有多少客户受到影响,现在透露具体数字还为时过早。而据媒体报道,目前约有980万人(现客户与原客户)的个人信息可能被黑客获取。
目前,该公司呼吁所有客户都要对账户安全保持警惕。
史无前例的数据泄露事件
澳大利亚广播公司(ABC)引述Optus公司的一位资深人士透露,这次大规模网络攻击很可能是利用了公司计算机系统的一个漏洞。
这位匿名人士称,这个漏洞与多数漏洞一样,似乎是人为错误造成的,公司方面想让系统集成更容易一些,以便满足行业监督机构澳大利亚通信和媒体管理局(Australian Communications and Media Authority,ACMA)的双重认证规定。
据称,这个过程涉及到通过所谓的应用程序接口向其他系统开放公司的客户身份数据库,并假定这个应用程序编程接口(API)仅由授权的公司系统使用。
简单来说,这意味着公司的内部系统连接的测试网络恰好有互联网接入,能够允许访问者从外部访问内部系统的数据资料。
前澳大利亚联邦警察、网络安全专家奈杰尔·费尔(Nigel Phair)也表示,人为错误很可能是导致大规模数据泄露的一个因素。
他表示,系统某处出现漏洞,而从我们了解的情况来看这种漏洞总是人为导致的。
“这可能是犯罪分子能够通过自己的手段,绕过本来非常有用的安全机制的一种方式,”他说。
然而,Optus公司却否认了“人为错误”造成用户数据遭到窃取的说法。该公司对ABC表示,这起“精心设计”的黑客事件仍在调查中,相关的说法并不准确。
目前,澳大利亚通信管理局(ASD)和澳大利亚数字安全中心(Australian Cyber Security Centre)都介入了这一事件,调查为何发生客户信息大规模泄露,吸取教训,确保不再发生信息泄露的情况。
现在要搞清Optus被黑是某国的国家行为还是犯罪组织所为还为时过早,因此,除联邦警察外,澳大利亚数码安全中心与有关情报机构也介入了此案的调查工作。
哪些信息可能遭泄露?
Optus表示,其现有客户和曾使用该公司电信服务的客户都可能受这次网络攻击的影响。可能泄露的客户个人信息包括:姓名、出生日期、电话号码和电邮地址。
部分客户的住址、驾照或护照等身份证件的号码也可能泄露。
Optus称客户的账户密码以及详细付款信息没有泄露,不过依然提醒客户随时注意公司发送的信息泄露提醒信息。
据Optus表示,包括移动与固定互联网服务均不受到影响,手机短信和语音通话也没有受到影响,可以安全使用公司提供的电信服务。
一些Optus的过往客户已停用该公司的服务逾五年,但按照网络上流传的查证办法发现自己的住址、身份证件、电话号码等信息都已泄露。
一些使用Optus电信业务的华人顾客也在社交媒体上透露,他们通过这一办法看到了自己的个人信息,非常担心。
数据泄露引发的风险
网络安全公司CyberCX的全国隐私保护部门的负责人大卫·贝驰(David Batch)表示,这次黑客攻击让包括驾照和护照号码在内的Optus客户个人信息泄露,这个问题非常令人担忧。
“你的个人数据被一些不良行为者掌握的越多,你就越有可能成为身份盗用的受害者,从而遭到欺诈,”他说。
一些Optus的客户则担心这次网络攻击事件会对个人生活造成严重影响。
譬如说,Optus的一名原客户伯纳德·谢泼德(Bernard Sheppard)在 9月25日,即该公司确认遭到黑客攻击后的第三天收到Optus的电邮,获知自己的的姓名、出生日期、电子邮件、电话号码、地址和身份证明文件(驾照或护照)号码均已泄露。
让他非常担忧的是,无法从Optus那里了解到泄露的是驾照号码还是护照号码。
他不太担心护照号码泄露,因为自己的护照已经过期,新护照的号码与以前的不同。但驾照号码就不同了,除特殊情况外永远都不会变。
谢泼德想换一个驾照号码,防止身份被盗用。遗憾的是,维州道路交通管理局(Vicroads)称若非已经出现欺诈行为,否则本州居民不得换驾照号码。
贝驰表示,大多数州和领地通常只在驾照持有人面对较高欺诈风险的情况下才会给持有人换驾照号码。
他建议民众与所在州或领地的驾照管理机构和Optus联系,根据个人情况讨论有什么解决办法。
新州客户服务部长(New South Wales Customer Service Minister)维克多·多米尼诺(Victor Dominello)表示,Optus客户在驾照信息被黑客窃取后应申请更换驾照。
如何防范?
要是您发现个人信息因为Optus遭到网络攻击而泄露,应该怎么做呢?
贝驰表示,可以定期检查您的信用卡记录,看看是否有任何异常活动,并使用信用监测服务。
周一,澳大利亚内政部长对Optus进行了严厉批评,并说公司应该为受影响客户提供免费信用监测服务。
之后,该公司宣布将为“受影响最大”的现客户和原客户提供一年期的免费信用监控和身份保护服务。
此外,Optus表示将对认为有高度风险的客户发送“个人提醒通知”,并提供“专业的第三方监测服务”。
如果您是受影响的Optus客户,可以访问澳大利亚网络安全中心(The Australian Cyber Security Centre,ACSC)网站寻求帮助。
Optus公司则表示,“没有发现客户受到任何伤害”,但呼吁各位客户“提高对账户的警惕性,注意不寻常活动或欺诈性活动,以及任何看起来奇怪或可疑的通知”。
澳大利亚网络安全中心则建议民众:
更新设备,以保护重要信息。
用多重认证保护个人账户。
定期将数据备份到云端或外接移动硬盘上。
您如果怀疑驾照号码已经泄露,不妨参考ABC的调查研究结果尝试解决问题。
维州
可以通过维州道路交通管理局申请新的驾照号码,但需要提供很多有关证据,而且必须有证据表明有人对您有欺诈企图。
驾照号码泄露的受害者可以提供一级身份证明文件,包括联邦受害者证明(Commonwealth Victims' Certificate)、法庭摘录文件。
此外,由警方向维州道路交通管理局提出更换驾照号码请求,或提供一份英联邦国家常用的宣誓文件作为法定声明,以及两份二级身份证明文件即可。
所谓的二级身份证明包括服务提供商确认发生欺诈的公司信笺,警方报告,表明受到欺诈的宣誓书或侵权报告书。
新州
受害者必须“就盗窃或其他案件报案,拿到警方的报案号码或数字犯罪报案收条号码(ReportCyber receipt,CIRS)号码”,并填写更换驾照号码表格。
昆州
交通和主要道路管理部( Department of Transport and Main Roads,TMR)发言人表示,该部一直在帮助受Optus系统漏洞影响的客户,但没有说明受影响者是否有可能更改驾照号码。
发言人称,民众若担心本人的驾照号码被用于欺诈活动,应立即联系昆士兰州警局。
这位发言人还表示,TMR发放的驾照是一种高度安全的身份证明文件,具有一系列物理安全特性,可防止驾照被伪造或篡改。
此外,若使用个人信息与TMR进行在线互动,必须使用双重认证才行。
塔州
任何受到Optus被黑事件影响的民众都可以就信息外泄问题与塔斯马尼亚社会服务部(Services Tasmania)联系,之后携带社会服务部签发的一封信前往该部设在全州各地的分支机构申请新驾照。
需要注意的是,新驾照并非免费发放,您需按照规定缴费。
南澳
南澳州基础设施和交通部(South Australian Department for Infrastructure and Transport)的发言人表示,受影响民众可以在南澳州社会服务部(Service SA)下属的各服务中心获得新驾照号码。
北领地与首都领地
两个领地的领导人表示,政府依然在研究如何处理这一问题。
西澳
ABC已联系州政府寻求处理有关问题的意见。
除驾照外,Optus客户的护照号码也可能会被盗用身份者利用。
澳大利亚外交与贸易部(DFAT)表示,民众可以安全使用澳大利亚护照旅行,Optus客户可以自行决定是否需要取消护照或申请新护照,收费标准不变。
澳大利亚在隐私保护方面依然落后
奥尼尔部长表示,澳大利亚在隐私保护方面可能落后十年,而在网络保护方面,澳大利亚比应该达到的水平落后了大约五年。
奥尼尔强调,现在的重点是努力让澳大利亚人免于某种类型金融犯罪的风险,而她有可能使用网络安全部长的权力颁布最低的网络安全标准,防止再次发生这类事件。
图文来源:澳大利亚广播公司ABC中文
| 
收藏
