انتقد Optus لثلاثة انتهاكات للخصوصية

التزمت Optus بإجراء مراجعة مستقلة لأنظمة أمن المعلومات الخاصة بها بعد أن قام مفوض الخصوصية الأسترالي تيموثي بيلجريم بالتحقيق في ثلاث حوادث أمنية منفصلة.

تتعلق الحادثة الأولى بدليل هاتف الشركة المدرج على موقع Optus الإلكتروني. أثناء الترقية في فبراير 2013، نشرت Optus عن طريق الخطأ أسماء وعناوين وأرقام هواتف محمولة لـ 122000 عميل دون موافقتهم. تم إعلام Optus بهذه المشكلة في أبريل 2014، وأخطرت مكتب مفوض المعلومات الأسترالي (OAIC) ​​في يونيو 2014.

وتتعلق الحادثة الثانية بأجهزة مودم Netgear وCisco التي تم نشرها لـ 197000 و111000 عميل على التوالي منذ عام 2008. تركت Optus منافذ إدارة أجهزة المودم هذه مفتوحة للسماح لـ Optus بالوصول إليها عن بعد، ولكن بتركها مفتوحة، فهذا يعني أن العملاء الذين لم يغيروا كلمات المرور الإدارية على أجهزة المودم هذه من الإعدادات الافتراضية من الممكن أن يكونوا قد تعرضوا للاختراق من قبل أشخاص على علم بذلك الخلل.

تم الإبلاغ عن هذه المشكلة بواسطة فيرفاكس ميديا ​​في أبريل 2014، بعد أن قام Optus بتأمين أجهزة المودم بالفعل.

"لقد أغلقت Optus الثغرة الأمنية من خلال تنفيذ عناصر التحكم في الوصول وتعديل ملفات التكوين على كافة المتأثرين و أجهزة المودم التي تم إرسالها حديثًا لتعزيز الأمان على أجهزة المودم هذه من خلال فرض حماية أقوى لكلمة المرور،" مفوض الخصوصية قال.

"لا يوجد دليل على استغلال هذه الثغرة الأمنية."

تتعلق الحادثة الثالثة بعدم مطالبة عملاء Optus بكلمات مرور البريد الصوتي الخاصة بهم عند الوصول إلى البريد الصوتي الخاص بهم على شبكة Optus.

بالنسبة لكل من هذه الحوادث، قال مفوض الخصوصية إن عددًا كبيرًا من الأفراد تعرضوا لتهديد أمان معلوماتهم الشخصية، مما أدى إلى خطر الضرر. وقال المفوض إن الإجراءات الأمنية المطبقة لم تكن معقولة بالنسبة لمستوى المعلومات الشخصية التي تحتفظ بها Optus.

كما تم تنبيه الشركة فقط إلى الانتهاكات التي ارتكبتها أطراف ثالثة في كل حالة من الحالات الثلاث.

وكجزء من تعهدها، التزمت Optus بإشراك مدقق خارجي لمراجعة ممارسات Optus، الإجراءات والأنظمة المستخدمة لحماية المعلومات الشخصية، وتحديد نقاط الضعف والتغييرات التي يجب إجراؤها صنع. يجب على Optus بعد ذلك تنفيذ التغييرات المقترحة كجزء من التقرير.

تم التوقيع على التعهد من قبل الرئيس التنفيذي لشركة Optus ألين ليو.

"إنني أقدر الطريقة الإيجابية التي عملت بها Optus مع مكتبنا لمعالجة هذه الحوادث. أعتقد أن التعهد القابل للتنفيذ هو النتيجة المناسبة التي ستضمن اتخاذ Optus الخطوات اللازمة لتحقيق ذلك وقال بيلجريم في بيان: "تعزيز ضوابط الخصوصية الخاصة بها والوفاء بالتزاماتها الأمنية بموجب قانون الخصوصية". إفادة.

"يمكن أن تشكل خروقات البيانات تهديدًا خطيرًا للأفراد وسمعة المنظمات. ولهذه الأسباب، أوصي بأن تقوم جميع المنظمات والوكالات بتطوير خطة للاستجابة لاختراق البيانات، حيث سيؤدي ذلك إلى تحسين قدرتها بشكل كبير على الاستجابة للانتهاك.

وقال ديفيد إبستاين، نائب رئيس شركة Optus لشؤون الشركات والشؤون التنظيمية، إن شركة Optus أخذت هذه القضايا على محمل الجد، وحلت الأمور.

وقال في بيان: "تعاونت Optus مع مفوض الخصوصية وتعهدت بالحصول على مراجعة خارجية مستقلة لامتثالها لقوانين الخصوصية".

"تم إخطار العملاء المتأثرين في عام 2014 وعملنا مع الأفراد لمعالجة مخاوفهم في ذلك الوقت. سنواصل مراجعة عملياتنا وأنظمتنا لمنع الأخطاء المستقبلية."

ويأتي يوم الخميس، أقر مجلس الشيوخ التشريع قد يتطلب ذلك من شركة Optus وجميع شركات الاتصالات الأسترالية الأخرى تخزين المزيد من بيانات العملاء لمدة عامين.

صرح متحدث باسم Optus لـ ZDNet أن الشركة بدأت الآن العمل على خطة تنفيذ للاحتفاظ بالبيانات.

"يتصور التشريع هذه الخطط ويسمح لكل مزود بفترة تصل إلى ستة أشهر لتسوية خطته مع إدارة المدعي العام. وقال المتحدث إن الخطة المعتمدة ستحدد نهج Optus للامتثال لالتزامات الاحتفاظ.

ولم تؤكد الشركة بعد ما إذا كان سيتم تخزين البيانات في أستراليا، بينما تلسترا قال سيتم تخزين بياناتها مشفرة داخل أستراليا.