ออสเตรเลีย ยกเครื่องกฎหมายความปลอดภัยทางไซเบอร์ หลังถูกแฮกข้อมูล

หลังจากการรั่วไหลของข้อมูลครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์ของออสเตรเลีย ทำให้รัฐบาลออสเตรเลียกำลังวางแผนที่จะเข้มงวดขึ้นในข้อกำหนดสำหรับการเปิดเผยการโจมตีทางไซเบอร์

แอนโธนี อัลบานีส (Anthony Albanese) นายกรัฐมนตรีออสเตรเลีย เผยว่า รัฐบาลตั้งใจที่จะยกเครื่องกฎหมายความเป็นส่วนตัว เพื่อให้บริษัทใดก็ตามที่ประสบปัญหาการแฮกข้อมูล จำเป็นต้องแบ่งปันรายละเอียดกับธนาคารเกี่ยวกับลูกค้าที่อาจได้รับผลกระทบเพื่อลดการฉ้อโกง

ภายใต้กฎหมายความเป็นส่วนตัวของออสเตรเลียในปัจจุบัน บริษัทต่าง ๆ จะถูกป้องกันมิให้เปิดเผยรายละเอียดดังกล่าวเกี่ยวกับลูกค้าของตนกับบุคคลที่สาม

การประกาศนโยบายดังกล่าวเกิดขึ้นหลังจากเกิดการแฮกข้อมูลครั้งใหญ่เมื่อสัปดาห์ที่แล้ว ซึ่งส่งผลกระทบต่อ Optus บริษัทโทรคมนาคมที่ใหญ่เป็นอันดับสองของออสเตรเลีย แฮ็กเกอร์สามารถเข้าถึงข้อมูลที่มีความละเอียดอ่อนจำนวนมากจากลูกค้า Optus ได้มากถึง 9.8 ล้านราย หรือเกือบ 40% ของประชากรออสเตรเลีย ข้อมูลที่รั่วไหล ได้แก่ ชื่อ วันเกิด ที่อยู่ ข้อมูลติดต่อ และในบางกรณี หมายเลขใบอนุญาตขับรถหรือหนังสือเดินทาง

เนื้อหาที่เกี่ยวข้อง :

• เป็นเรื่อง TikTok ติดตามข้อมูลด้วยการจดจำ Keystrokes แม้อยู่นอกแอปฯ
• 8 ปี รัฐบาลประยุทธ์ : ผลงานไซเบอร์ดี แต่ยังขาดแม่งาน Pr - บังคับใช้จริงจัง
• เรียกจ่ายภาษี แต่โดน "แฮกบัญชี" ซะอย่างนั้น คำถามคือ เงินหายไปได้ยังไง ?
• คลาวด์เซค เอเซีย จับมือ หัวเว่ย ประเทศไทย ต่อยอดความปลอดภัยบนคลาวด์

การแฮกอาจเป็นผลมาจากอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (Application Programming Interface: API) ที่มีการรักษาความปลอดภัยอย่างไม่เหมาะสมซึ่ง Optus พัฒนาขึ้นเพื่อให้สอดคล้องกับระเบียบข้อบังคับเกี่ยวกับการให้ตัวเลือกการตรวจสอบสิทธิ์แบบหลายปัจจัยแก่ผู้ใช้

บุคคลที่อ้างว่าเป็นแฮ็กเกอร์ Optus ดูเหมือนจะยืนยันบัญชีนี้เกี่ยวกับการแฮกข้อมูลในการสนทนากับ เจเรมี่ เคิร์ก (Jeremy Kirk) นักข่าวด้านความปลอดภัยทางไซเบอร์

UPDATE: I reached the person who claims to have hacked Optus. I've also been contacted by a second, separate source who says the hacker's version of events is approximately correct. Here's what they said. #OptusHack #infosec #auspol

— Jeremy Kirk (@Jeremy_Kirk) September 24, 2022

ตามรายละเอียดที่แฮ็กเกอร์สันนิษฐานให้เคิร์ก ข้อมูลถูกดาวน์โหลดโดยการค้นหา API ตามลำดับสำหรับแต่ละค่าของฟิลด์ตัวระบุที่ไม่ซ้ำกันที่ระบุว่า "Contactid" และบันทึกข้อมูลของผู้ใช้แต่ละคนทีละรายการจนกว่าจะมีการรวบรวมชุดข้อมูลหลายล้านระเบียน

โพสต์จากบุคคลเดียวกันในฟอรัมแฮ็คยอดนิยมอ้างว่าเสนอข้อมูลผู้ใช้เพื่อขายในราคา 150,000 ดอลลาร์ (5.68 ]ล้านบาท) และระบุราคากรรโชก 1 ล้านดอลลาร์ (37 ล้านบาท) เพื่อรักษาข้อมูลให้เป็นส่วนตัว โดยจะจ่ายเป็นสกุลเงินดิจิทัล Monero

แฮ็กเกอร์ยังปล่อย "ไฟล์ตัวอย่าง" ฟรีจำนวนหนึ่ง ซึ่งระบุว่ามีข้อมูลที่อยู่แบบเต็มของผู้ใช้ Optus จำนวน 10,000 ราย

เมื่อสถานการณ์คลี่คลาย ลูกค้า Optus จำนวนมากใช้โซเชียลมีเดียเพื่อแสดงความไม่พอใจกับวิธีจัดการแฮกเกอร์ โดยเฉพาะอย่างยิ่งในการแจ้งผู้ใช้ที่ได้รับผลกระทบว่าข้อมูลของพวกเขามีความเสี่ยง

"น่าทึ่งที่ Optus สามารถส่งอีเมลถึงผมได้เมื่อผมมาช้าไปหนึ่งวันในการจ่ายเงิน แต่ไม่ใช่เมื่อพวกเขาสูญเสียข้อมูลส่วนบุคคลทั้งหมดของผมในการแฮ็กทางไซเบอร์ครั้งใหญ่" แพทริค เคเนลลี่ (Patrick Keneally) บรรณาธิการข่าวของ Guardian Australia ทวีตหลังจากการแฮกข้อมูล