Több mint 400 millió Twitter felhasználó adata szivároghatott ki, a hackerek 200 ezer dollár váltságdíjat kérnek az adatok törléséért.
Még tavaly, 2022. december 28-án derült fény arra, hogy a Twittert meghackelték és közel 400 millió felhasználó adatai kerültek napvilágra. Az ellopott adatokból csak egy kis részét publikálták a tolvajok, de abból kiderült, hogy telefonszámok, email címek is voltak a bejelentkezési adatok mellett.
A hackerek nyilván hírességek Twitter fiók adataival illusztrálták sikeres munkájukat. A Ryushi nevű adatlopó 200 ezer dollárt kért az adatokért cserébe, és azért, hogy törölje a nála lévő adatbázist.
A Twitter nem kommentálta az esetet, holott nem más, mint Brian Krebs kiberbiztonsági újságíró szólította fel annak vezetőjét, Elon Musk-ot, hogy reagáljon – stílusosan egy Twitter üzenetben. A mostani vezető mentségére legyen mondva az adatokhoz nagy valószínűséggel azelőtt fértek hozzá az illetéktelen személyek, mielőtt az átvette volna a közösségi oldalt.
Az ír adatvédelmi hivatal jelezte, hogy az adatszivárgási incidenst komolyan kezeli és elkezd vizsgálódni az ügyben.
Az esetre egyébként a Hudson Rock kiberbiztonsági vállalat hívta fel a közvélemény figyelmét. Szerintük minden jel arra mutat, hogy a hackerek nem egy korábbi Twitter adatszivárgásban is napvilágot látott adatokat mutattak be példának, hanem teljesen új információkkal jelentkeztek.
Az is az adatincidens valódiságát támasztja alá, hogy a hackerek egy szolgáltató segítségével próbálják eladni az adatokat. Ez a szolgáltató a garancia arra, hogy a fizetés csak akkor történik meg, ha a bűnözők valóban átadták és törölték a szóban forgó adatokat.
Ausztrália legnagyobb adatszivárgásának tanulságai: GDPR jellegű büntetéseket vezetnének be.
Ausztrália legnagyobb adatszivárgásának hatására az európai GDPR-hoz hasonló büntetések bevezetésén gondolkodnak a hatóságok. Ugyanakkor köteleznék a vállalatot, hogy fizesse meg az adatszivárgásban érintett személyi okmányok cseréjének költségét. A nagy médiafigyelem miatt a hacker törölte az adatokat és visszalépett a váltságdíjtól is.
Optus Ausztrália második legnagyobb távközlési szolgáltatója. Összesen 10 millió ügyfele van (Ausztrália lakosságának 40 százaléka), ezeknek pedig sok adatát összegyűjtötte és tárolta. A távközlési szolgáltató szeptember 22-én jelezte egy rövid közleményben, hogy rendszereit kibertámadás érte, ennek következtében az ügyfelek adatai illetéktelenek kezébe került.
A szolgáltató olyan adatokat tárolt az ügyfelekről, mint nevek születési adatok, az útlevelek sorszáma, a jogosítvány sorszáma, az egészségbiztosítói azonosító szám (ami nemzeti személyazonossági igazolvány hiányában az adott személyt azonosítja), telefonszámok és otthoni címek.
Az azonosítatlan támadó első körben 1 millió dollárt kért az adatokért cserébe, miután egy online webes fórumon 10 ezer ügyfél adatát nyilvánosságra hozta – ezzel is bizonyítva, hogy ő az igazi támadó. Majd a támadás nagyságát és a szolgáltató válaszát látva (aki bevonta közben a helyi nyomozó hatóságokat is), a hacker meggondolta magát: azonnal törölte a már közzétett adatokat, elnézést kért és próbált eltűnni.
Az ügy azonban innen önálló életre kelt. Az Optus vezetője, Kelly Bayer Rosmarin azt mondta, hogy a vállalat egy bonyolult támadás áldozata lett, a támadás az első adatok szerint egy európai IP címről érkezett és hogy a nyomozó hatóságok forró nyomon vannak. Azonban a köd leszálltával kiderült, hogy a hackernek eléggé könnyű dolga volt bejutni a rendszerbe: a távközlési vállalat egy olyan alkalmazás programozási interfészt működtetett, mely nem kérte a felhasználók azonosítását, de hozzáférést biztosított az ügyfeleik adataihoz. Egyszerűen egy amatőr hackernek szerencséje volt.
Azonban a kiberbiztonsági miniszter, Clare O’Neill megkérdőjelezte az Optus szavahihetőségét és aggasztónak nevezte, hogy mennyire egyszerű volt bejutni a távközlési szolgáltató rendszerébe, hiszen a vállalat egyszerűen nyitva hagyta az ablakot a hacker előtt.
Az ügy hatására az is felmerült, hogy az ausztrál adatvédelmi intézkedésekbe az európai GDPR mintájára komoly szankciókat kellene beépíteni, ami arra sarkalná a cégeket, hogy sokkal jobban odafigyeljenek az adatok biztonságára. Egy kormányzati forrás azt a lehetőséget is megszellőztette, hogy a távközlési vállalat fizesse ki a támadás következtében kicserélendő útlevelek és vezetői jogosítványok költségét.
Az biztos, hogy az ausztrál rendőrség egy külön projektet indított annak a 10 ezer ausztrál állampolgárnak a megvédésére, kinek az adatait a hacker első körben nyilvánosságra hozta, majd törölte is őket, a többi 10 millió adattak együtt.
A cégtől távozó alkalmazottak egyharmada magával viszi a céges adatokat, mert azokat saját hasznára szeretné felhasználni. És egyébként is a sajátjának tekinti. A great resignation az a jelenség, mely 2021 nyarán, a covidban megfáradt amerikai alkalmazottak körében jelentkezett. Az emberek tömegesen és más munkahely lehetősége nélkül álltak fel és hagyták ott az őket foglalkoztató vállalkozást. Az okok változatosak: egyes közgazdászok úgy vélik, hogy a járvány címszó alatt osztogatott bőkezű állami juttatások miatt az emberek már nem aggódtak megélhetésük miatt. Mások szerint most jutottak el oda, hogy jobban odafigyelnek saját életükre az emberek, sokkal jobban előtérbe került az élet a munka kárára. Sokan a home office csábításának engedve váltanak munkahelyet.