Több mint 400 millió Twitter felhasználó adata szivároghatott ki, a hackerek 200 ezer dollár váltságdíjat kérnek az adatok törléséért.
Még tavaly, 2022. december 28-án derült fény arra, hogy a Twittert meghackelték és közel 400 millió felhasználó adatai kerültek napvilágra. Az ellopott adatokból csak egy kis részét publikálták a tolvajok, de abból kiderült, hogy telefonszámok, email címek is voltak a bejelentkezési adatok mellett.
A hackerek nyilván hírességek Twitter fiók adataival illusztrálták sikeres munkájukat. A Ryushi nevű adatlopó 200 ezer dollárt kért az adatokért cserébe, és azért, hogy törölje a nála lévő adatbázist.
A Twitter nem kommentálta az esetet, holott nem más, mint Brian Krebs kiberbiztonsági újságíró szólította fel annak vezetőjét, Elon Musk-ot, hogy reagáljon – stílusosan egy Twitter üzenetben. A mostani vezető mentségére legyen mondva az adatokhoz nagy valószínűséggel azelőtt fértek hozzá az illetéktelen személyek, mielőtt az átvette volna a közösségi oldalt.
Az ír adatvédelmi hivatal jelezte, hogy az adatszivárgási incidenst komolyan kezeli és elkezd vizsgálódni az ügyben.
Az esetre egyébként a Hudson Rock kiberbiztonsági vállalat hívta fel a közvélemény figyelmét. Szerintük minden jel arra mutat, hogy a hackerek nem egy korábbi Twitter adatszivárgásban is napvilágot látott adatokat mutattak be példának, hanem teljesen új információkkal jelentkeztek.
Az is az adatincidens valódiságát támasztja alá, hogy a hackerek egy szolgáltató segítségével próbálják eladni az adatokat. Ez a szolgáltató a garancia arra, hogy a fizetés csak akkor történik meg, ha a bűnözők valóban átadták és törölték a szóban forgó adatokat.
Ausztrália legnagyobb adatszivárgásának tanulságai: GDPR jellegű büntetéseket vezetnének be.
Ausztrália legnagyobb adatszivárgásának hatására az európai GDPR-hoz hasonló büntetések bevezetésén gondolkodnak a hatóságok. Ugyanakkor köteleznék a vállalatot, hogy fizesse meg az adatszivárgásban érintett személyi okmányok cseréjének költségét. A nagy médiafigyelem miatt a hacker törölte az adatokat és visszalépett a váltságdíjtól is.
Optus Ausztrália második legnagyobb távközlési szolgáltatója. Összesen 10 millió ügyfele van (Ausztrália lakosságának 40 százaléka), ezeknek pedig sok adatát összegyűjtötte és tárolta. A távközlési szolgáltató szeptember 22-én jelezte egy rövid közleményben, hogy rendszereit kibertámadás érte, ennek következtében az ügyfelek adatai illetéktelenek kezébe került.
A szolgáltató olyan adatokat tárolt az ügyfelekről, mint nevek születési adatok, az útlevelek sorszáma, a jogosítvány sorszáma, az egészségbiztosítói azonosító szám (ami nemzeti személyazonossági igazolvány hiányában az adott személyt azonosítja), telefonszámok és otthoni címek.
Az azonosítatlan támadó első körben 1 millió dollárt kért az adatokért cserébe, miután egy online webes fórumon 10 ezer ügyfél adatát nyilvánosságra hozta – ezzel is bizonyítva, hogy ő az igazi támadó. Majd a támadás nagyságát és a szolgáltató válaszát látva (aki bevonta közben a helyi nyomozó hatóságokat is), a hacker meggondolta magát: azonnal törölte a már közzétett adatokat, elnézést kért és próbált eltűnni.
Az ügy azonban innen önálló életre kelt. Az Optus vezetője, Kelly Bayer Rosmarin azt mondta, hogy a vállalat egy bonyolult támadás áldozata lett, a támadás az első adatok szerint egy európai IP címről érkezett és hogy a nyomozó hatóságok forró nyomon vannak. Azonban a köd leszálltával kiderült, hogy a hackernek eléggé könnyű dolga volt bejutni a rendszerbe: a távközlési vállalat egy olyan alkalmazás programozási interfészt működtetett, mely nem kérte a felhasználók azonosítását, de hozzáférést biztosított az ügyfeleik adataihoz. Egyszerűen egy amatőr hackernek szerencséje volt.
Azonban a kiberbiztonsági miniszter, Clare O’Neill megkérdőjelezte az Optus szavahihetőségét és aggasztónak nevezte, hogy mennyire egyszerű volt bejutni a távközlési szolgáltató rendszerébe, hiszen a vállalat egyszerűen nyitva hagyta az ablakot a hacker előtt.
Az ügy hatására az is felmerült, hogy az ausztrál adatvédelmi intézkedésekbe az európai GDPR mintájára komoly szankciókat kellene beépíteni, ami arra sarkalná a cégeket, hogy sokkal jobban odafigyeljenek az adatok biztonságára. Egy kormányzati forrás azt a lehetőséget is megszellőztette, hogy a távközlési vállalat fizesse ki a támadás következtében kicserélendő útlevelek és vezetői jogosítványok költségét.
Az biztos, hogy az ausztrál rendőrség egy külön projektet indított annak a 10 ezer ausztrál állampolgárnak a megvédésére, kinek az adatait a hacker első körben nyilvánosságra hozta, majd törölte is őket, a többi 10 millió adattak együtt.
A cégtől távozó alkalmazottak egyharmada magával viszi a céges adatokat, mert azokat saját hasznára szeretné felhasználni. És egyébként is a sajátjának tekinti.