El gobierno australiano dijo el lunes que está considerando reglas de ciberseguridad más estrictas para las empresas de telecomunicaciones y culpó a Optus, el segundo operador inalámbrico más grande del país, por una violación sin precedentes de datos personales de 9,8 millones de clientes.
Optus dijo el jueves pasado que se había enterado el día anterior del ataque cibernético que obtuvo los detalles de 9,8 millones de personas, de la población de Australia de 26 millones.
La ministra de seguridad cibernética, Clare O’Neil, dijo a Australian Broadcasting Corp. que el ataque fue un «robo de información del consumidor sin precedentes en la historia de Australia».
Para 2,8 millones de clientes actuales y anteriores de Optus, la violación involucró «cantidades significativas de datos personales», incluidas licencias de conducir y números de pasaporte, dijo O’Neil.
Esos 2,8 millones de personas corren un riesgo significativo de pérdida de identidad y fraude, dijo.
«La violación es de una naturaleza que no deberíamos esperar ver en un gran proveedor de telecomunicaciones en este país», dijo O’Neil al Parlamento.
En algunos países, tal incumplimiento daría lugar a multas «que ascienden a cientos de millones de dólares», dijo O’Neil.
La ley australiana actualmente no permite que Optus sea multado por la infracción.
«Una tarea de reforma muy sustancial surgirá de una brecha de esta escala y tamaño», dijo O’Neil.
«Una pregunta importante es si los requisitos de seguridad cibernética que imponemos a los grandes proveedores de telecomunicaciones en este país son adecuados para su propósito», agregó.
La Policía Federal Australiana dijo en un comunicado que los informes de que los datos robados ya se habían vendido estaban bajo investigación.
Los investigadores australianos están trabajando con las agencias de aplicación de la ley en el extranjero para determinar quién estuvo detrás del ataque y para ayudar a proteger al público del fraude de identidad, según el comunicado.
«Para proteger la integridad de la investigación criminal, la AFP no divulgará qué información ha obtenido en los primeros días» de la investigación, dijo la policía.
Jeremy Kirk, un escritor de seguridad cibernética con sede en Sydney, dijo que usó un foro en línea para delincuentes que intercambian datos robados para preguntarle a alguien que afirmó haber descargado la información de Optus cómo se accedió.
Optus parecía haber dejado abierta al público una interfaz de programación de aplicaciones, una pieza de software conocida como API que permite que otros sistemas se comuniquen e intercambien datos, dijo.
«Parece que fue una falla en la seguridad del sistema de software, por lo que cualquiera en Internet podría encontrarlo», dijo Kirk a la televisión Ten Network.
O’Neil no detalló cómo ocurrió la violación, pero la describió como un «truco bastante básico».
Optus había «dejado efectivamente la ventana abierta para el robo de datos de esta naturaleza», dijo.
O’Neil pidió a Optus que ofreciera a los clientes comprometidos monitoreo de crédito gratuito para protegerlos del robo de identidad, una solicitud que la compañía con sede en Sydney cumplió más tarde el lunes.
Optus anunció que estaba ofreciendo a sus clientes «más afectados» suscripciones gratuitas de 12 meses a Equifax Protect, un servicio de control de crédito y protección de identidad.
Optus dijo que la información a la que accedió un tercero no identificado incluía nombres de clientes, fechas de nacimiento, números de teléfono y direcciones de correo electrónico.
La policía y otras agencias de seguridad del gobierno trabajaron durante el fin de semana para proteger a los clientes afectados, dijo O’Neil.
Las agencias gubernamentales también estaban trabajando con el sector bancario para proteger a los clientes.
«Esto es complejo. Es legal y técnicamente complejo, pero estamos trabajando en una solución», dijo O’Neil.
El primer ministro Anthony Albanese describió la brecha como una «gran llamada de atención para el sector empresarial».
Albany anticipó posibles cambios en las disposiciones de privacidad para que los bancos puedan moverse más rápidamente para proteger a sus propios clientes después de tal violación.
«Sabemos que en el mundo de hoy hay actores, algunos actores estatales, pero también algunas organizaciones criminales, que quieren acceder a los datos de las personas», dijo Albanese.
La directora ejecutiva de Optus, Kelly Bayer Rosmarin, dijo en un comunicado la semana pasada que «estamos devastados al descubrir que hemos sido objeto de un ataque cibernético que resultó en la divulgación de la información personal de nuestros clientes a alguien que no debería verla».
Cómo no decirles a los clientes que sus datos están en riesgo: los peligros del enfoque Optus
© 2022 Prensa Asociada. Reservados todos los derechos. Este material no puede ser publicado, transmitido, reescrito o redistribuido sin permiso.
Citación: Australia considera leyes de ciberseguridad más estrictas después de la violación de datos (26 de septiembre de 2022) consultado el 26 de septiembre de 2022 en https://techxplore.com/news/2022-09-australia-mulls-tougher-cybersecurity-laws.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.