La police australienne enquêtait sur la divulgation par un pirate informatique des données personnelles volées de 10 000 clients du deuxième opérateur de téléphonie mobile du pays et sur la demande d'une rançon de 1 million de dollars en crypto-monnaie, a déclaré mardi le directeur général de la société.

Le gouvernement australien a blâmé la cybersécurité laxiste d'Optus pour la violation sans précédent la semaine dernière des données personnelles de 9,8 millions de clients actuels et anciens.

Jeremy Kirk, un rédacteur en cybersécurité basé à Sydney, a déclaré que le prétendu pirate informatique, qui utilise le nom en ligne Optusdata, avait publié 10 000 enregistrements de clients Optus sur le dark web et menacé d'en publier 10 000 autres chaque jour pendant les quatre prochains jours à moins qu'Optus ne paie la rançon. .

Lorsqu'on lui a demandé si le pirate informatique avait menacé de vendre les données restantes si Optus ne payait pas le million de dollars dans la semaine, le directeur général de la société, Kelly Bayer Rosmarin, a déclaré à Australian Broadcasting Corp. Web sombre."

La police fédérale australienne a déclaré lundi que ses enquêteurs travaillaient avec des agences étrangères, dont le FBI, pour déterminer qui était derrière l'attaque et aider à protéger le public contre la fraude d'identité. La police a refusé de commenter davantage mardi alors que les enquêtes étaient en cours.

"Ils examinent toutes les possibilités et utilisent le temps disponible pour voir s'ils peuvent retrouver ce criminel particulier et vérifier s'il est de bonne foi", a déclaré Bayer Rosmarin.

Kirk a écrit sur son site Web Bank Info Security qu'Optusdata a ensuite supprimé le message ainsi que trois échantillons des données volées.

Optusdata a envoyé à Kirk un lien vers un nouveau message qui a retiré la demande de rançon, a affirmé que les données volées avaient été supprimées et a présenté ses excuses à Optus ainsi qu'à ses clients.

"Trop d'yeux. Nous ne vendrons (sic) de données à personne", indique le message, ajoutant qu'Optus n'a pas payé de rançon.

Kirk a dit qu'il avait demandé pourquoi Optusdata avait changé d'avis mais qu'il n'avait reçu aucune réponse.

Angelene Falk, commissaire australienne à l'information et à la vie privée, l'autorité nationale de protection des données, a déclaré que le dernier message "indique... qu'il s'agit d'un incident très rapide".

"Il s'agit d'un incident majeur très préoccupant pour la communauté. Ce sur quoi nous devons nous concentrer ici, c'est de veiller à ce que toutes les mesures soient maintenues pour protéger les informations personnelles de la communauté contre tout risque de préjudice supplémentaire", a déclaré Falk.

Le consultant en sécurité Web Troy Hunt soupçonnait que les excuses provenaient du pirate informatique. Mais il n'a pas accepté que les données soient désormais en sécurité.

"La question est maintenant de savoir ce qui se passera ensuite ? N'entendrons-nous plus parler de cet individu ? Les données apparaîtront-elles dans un volume plus important demain, la semaine prochaine, peut-être dans des années ?" dit Hunt.

Au moins un des 10 000 clients d'Optus dont les données ont été publiées sur le dark web mardi avait reçu un SMS prétendument du pirate demandant une rançon de 2 000 dollars australiens (1 300 $), a rapporté Nine Network News à Sydney.

"Vos informations seront vendues et utilisées à des fins frauduleuses dans les deux jours ou jusqu'à ce qu'un paiement de 2 000 $ AU soit effectué", indique le texte, y compris les détails d'un compte bancaire australien au nom d'Optusdata.

La cible de l'extorsion, identifiée uniquement comme Belinda et décrite comme la mère d'un enfant de 5 ans atteint d'un cancer, a déclaré à Nine :"Pour être honnête, ce n'est tout simplement pas ce dont nous avons besoin."

"Je suppose qu'ils essaient juste de faire pression sur les gens pour qu'ils paient", a-t-elle déclaré. Neuf n'ont pas indiqué si elles avaient l'intention de payer.

Plus tôt mardi, Kirk a déclaré que les données personnelles publiées semblaient inclure des numéros de soins de santé, une forme d'identification qui n'avait pas été révélée publiquement auparavant comme ayant été piratée.

La ministre de la Cybersécurité, Clare O'Neil, a exhorté Optus à donner la priorité à l'information des clients sur les informations qui ont été prises.

"I am incredibly concerned this morning about reports that personal information from the Optus data breach, including Medicare numbers, are now being offered for free and for ransom," O'Neil said. "Medicare numbers were never advised to form part of compromised information from the breach," she added.

O'Neil on Monday described the hack as an "unprecedented theft of consumer information in Australian history."

Of the 9.8 million people affected, 2.8 million had "significant amounts of personal data," including driver's licenses and passport numbers, breached and are at significant risk of identity theft and fraud, she said.

Kirk said he used an online forum for criminals who trade in stolen data to ask Optusdata how the Optus information was accessed.

Optus appeared to have left an application programming interface, a piece of software known as an API that allows other systems to communicate and exchange data, open to the public, Kirk said.

The Australian Financial Review newspaper said the theory that Optus "left open an API" had been widely reported.

Bayer Rosmarin rejected such explanations, but said police had told her not to release details.

"It is not the case of having some sort of completely exposed API sitting out there," Bayer Rosmarin said.

O'Neil didn't detail how the breach occurred, but described it as a "quite a basic hack."

Optus had "effectively left the window open for data of this nature to be stolen," O'Neil said. + Explorer plus loin

L'Australie réfléchit à des lois plus strictes sur la cybersécurité après une violation de données

© 2022 L'Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.