Von den 9,8 Millionen Kunden, die von der Datenschutzverletzung betroffen sind, verfügen 1,2 Millionen über mindestens eine gültige Identifikationsnummer. sagt der zu Singtel gehörende australische Betreiber und fügt hinzu, dass er Deloitte mit der Untersuchung des Verstoßes beauftragt hat, einschließlich der Art und Weise, wie er passiert ist geschah.
Laut Optus waren von der jüngsten Datenpanne 1,2 Millionen Kunden mit mindestens einer gültigen und aktuellen Identifikationsnummer betroffen. Der australische Mobilfunkanbieter hat außerdem Deloitte damit beauftragt, eine Untersuchung des Cybersicherheitsvorfalls zu leiten, einschließlich der Frage, wie es dazu kam und wie er hätte verhindert werden können.
Optus sagte am Montag in einer Erklärung, dass Deloitte die „unabhängige externe Prüfung“ von der Verstoß würde die Sicherheitssysteme, Kontrollen und Prozesse des Telekommunikationsunternehmens umfassen. Es fügte hinzu, dass der Schritt vom Vorstand unterstützt wurde seine Muttergesellschaft Singtel, die die Situation „genau beobachtet“ habe.
Kelly Bayer Rosmarin, CEO von Optus, erläuterte die forensische Bewertung von Deloitte: „Diese Überprüfung wird dazu beitragen, dass wir verstehen, wie es passiert ist und wie wir verhindern können, dass es erneut auftritt.“ Es wird dazu beitragen, Optus bei der Reaktion auf den Vorfall zu unterstützen. Dies kann auch anderen im privaten und öffentlichen Sektor helfen, wo sensible Daten gespeichert werden und das Risiko eines Cyberangriffs besteht.“
In seiner Erklärung fügte Optus hinzu, dass es mit mehr als 20 Regierungsbehörden zusammengearbeitet habe, um das Ausmaß der Datenschutzverletzung zu ermitteln.
Von seinem Kundenstamm von 9,8 Millionen gab der australische Betreiber an, dass 1,2 Millionen Kunden mindestens einen hatten Nummer aus einer aktuellen und gültigen Form persönlicher Identifikationsinformationen, die in der kompromittiert wurden Verstoß. Optus sagte, es habe diese Kunden kontaktiert und Maßnahmen empfohlen, die sie ergreifen sollten, um ihre Ausweisdokumente zu ändern.
Die Daten von weiteren 900.000 Kunden enthielten neben persönlichen Daten auch Nummern, die mit abgelaufenen Ausweisdokumenten verknüpft waren, die durch den Verstoß kompromittiert wurden. Optus sagte, es arbeite mit Regierungsbehörden zusammen, um gegebenenfalls weitere Schritte zu ermitteln, die für diese Kunden unternommen werden sollten. Das Telekommunikationsunternehmen fügte hinzu, dass es diese Kunden auch darüber informiert habe, dass ihre Ausweisdokumente durchgesickert seien.
Die kompromittierten Daten der verbleibenden 7,7 Millionen Kunden enthielten keinen gültigen oder aktuellen Ausweis Es enthielt jedoch auch andere persönliche Daten wie E-Mail-Adressen, Geburtsdaten und Telefonnummern Zahlen. Diese Kunden sollten „wachsam bleiben“, sagte Optus.
Das Telekommunikationsunternehmen teilte am Sonntag mit, dass es SMS- oder E-Mail-Nachrichten an Kunden in sechs Bundesstaaten verschickt habe New South Wales, deren Führerschein- und Kartennummern durch die Sicherheitsverletzung kompromittiert wurden, sowie Kunden, deren Medicare-Kartennummern durchgesickert sind.
Das Unternehmen arbeitete weiterhin mit den Landesregierungen von Victoria und Queensland zusammen, um Kunden zu identifizieren, deren Führerscheindaten kompromittiert wurden.
Laut Optus waren 14.900 Medicare-Identifikationsnummern, die durch den Verstoß kompromittiert wurden, gültig und nicht abgelaufen. Weitere 22.000 Kunden hatten abgelaufene Medicare-Kartennummern. Alle diese Kunden wurden benachrichtigt.
Während das Telekommunikationsunternehmen noch keine Einzelheiten darüber bekannt gibt, wie es zu dem Verstoß kam oder welche Systeme verletzt wurden, deuten verschiedene lokale Berichte darauf hin Online-API (Application Programming Interface), die offenbar keine Authentifizierung oder Autorisierung für Kundendaten erforderte zugegriffen.
Die australische Innenministerin Clare O'Neil kritisierte Optus letzte Woche wegen des Verstoßes: „Was bei Optus passiert ist, war kein raffinierter Angriff.“ Wir sollten in diesem Land keinen Telekommunikationsanbieter haben, der das Fenster für den Diebstahl von Daten dieser Art offen lässt... Sie sind schuld. Der hier durchgeführte Cyber-Hack war technologisch nicht besonders anspruchsvoll.“
Der australische Premierminister Anthony Albanese fügte hinzu, dass der Datenverstoß die Notwendigkeit einer Überarbeitung der Cybersicherheitsgesetze des Landes unterstreiche. „Wir wissen, dass dieser Verstoß niemals hätte passieren dürfen“, sagte Albanese. „Nach einem Jahrzehnt der Untätigkeit zur Bewältigung der immensen Datenmengen brauchen wir eindeutig bessere nationale Gesetze von Unternehmen über Australier gesammelt, und klare Konsequenzen für den Fall, dass sie damit nicht gut umgehen.“
VERWANDTE ABDECKUNG
- Die australische Regierung verlangt, dass Optus für Datenschutzverletzung aufkommt
- Optus-Sicherheitsverstoß gefährdet Passdaten von Kunden
- OAIC fordert stärkere Durchsetzungsbefugnisse im überarbeiteten australischen Datenschutzgesetz
- Singtel gibt Optus mehr „Autonomie“ bei der Leitung der Unternehmenseinheit
- Optus deaktiviert die Seite „Mein Konto“, nachdem sich Benutzer über Datenschutzverletzungen beschwert haben
- Optus hat wegen dreier Datenschutzverletzungen Anzeige erstattet