Mint arról hétfőn mi is beszámoltunk, Ausztrália legnagyobb horderejű kiberbiztonsági incidensére derült fény múlt hét végén. Az áldozat az ország második legnagyobb telekommunikációs vállalata, az Optus volt, ahonnan az előzetes becslések szerint akár 10 millió ügyfél személyes adatát emelhették le az elkövetők. Habár azóta csak pár nap telt el, a történet gyorsan újabb és újabb kanyarokat vett, miközben számos fontos részlet tisztázása továbbra is várat magára.

Politikai vihar

Tegnap az ausztrál főügyész jelentette be, hogy az adatbetörés kivizsgálását az Egyesült Államok Szövetségi Nyomozó Irodájának szakértőivel szeretnék erősíteni, ezért az illetékes hatóságok már kapcsolatba is léptek az FBI-jal. Mindeközben a belügyminiszter egy parlamenti felszólalásában azt mondta, hogy az Optus "nyitva hagyta az ablakot". Claire O'Neil a megjegyzésével valószínűleg arra a bennfentes beszámolóra utalt, amely szerint a sikeres támadás mögött emberi mulasztás áll. A cég egyik munkatársa ugyanis azt nyilatkozta a sajtónak, hogy az Optus rendszerében lévő ügyféladatok külső felekkel történő ellenőrzésére szolgáló API-t egy hibásan konfigurált teszthálózat miatt bárki "munkára foghatta". 

A sajtóértesüléseket és a politikusi megnyilvánulásokat az Optus, illetve annak vezetője, Kelly Bayer Rosmarin is igyekezett hárítani. Utóbbi szerint a belügyminiszter megjegyzései azelőtt hangzottak el, hogy a vállalat tájékoztatta volna a politikust.

Azt sem tudni, pontosan mit és kik loptak el

Ami az elkövető, vagy elkövetők kilétét illeti, egyelőre ott sem tisztább a kép. Az biztos, hogy egy hírhedt hekkerfórumon megjelent egy 1 millió dolláros követelés. A poszt megjelentetőjével pedig egy ausztrál informatikai újságírónak sikerült felvennie a kapcsolatot. Jeremy Kirk kapott is "mintát" a fogásból, amelyek valóban Optus-ügyfelek adatait tartalmazták. Ami ennél is érdekesebb, hogy az újságíró beszámolója szerint a kapott csomagban az állami egészségbiztosítási rendszerhez, a Medicare-hez kötődő személyes adatok is szerepeltek.

Utóbbi egyrészt azért fontos, mivel a telekommunikációs vállalat eddig azt állította, hogy a hekkereknek "csak" az érintettek lakcíméhez, jogosítvány- és útlevélszámához sikerült hozzáférni. Másrészt a Medicare rendszerében lévő azonosító számokat nem csak az egészségügyben, hanem egyéb hivatalos ügyek intézésekor is fel lehet használni, mivel az ausztrál jogszabályok több dokumentum bemutatását is megkövetelik a személyazonosság megállapításához. Mindez értelemszerűen kitágítja a lopott adatokkal elkövethető potenciális visszaélési lehetőségek körét.

Miközben a nyilvánosság épp az új fejleményeket emésztette, a hekkerfórumon váratlan bejelentést tett az állítólagos elkövetői kör. A támadó(k) szerint ugyanis túl nagy figyelem irányult az akcióra, így inkább felhagynak a váltságdíj erőltetésével, és az illetéktelenül szerzett adatcsomag törlésével be is fejezik a történetet. Az erről szóló poszt azért még odaszúr egyet magának az Optusnak is, mondván hogy a felfedezett biztonsági rést először be akarták jelenteni, ám erre a cég nem kínál megfelelő kapcsolatfelvételi lehetőséget (nincs biztonsági témáknak szentelt értesítési mailcím, nincs bug bounty program stb.).

Ez valószínűleg azonban a hatóságokat kevéssé fogja meghatni, a nyomozás pedig természetesen folytatódik, a jelek szerint immár az FBI szakértőinek bevonásával. Ha sikerrel járnak, akkor majd az is kiderülhet, pontosan mi történt az Optus rendszerében.

Az viszont már most borítékolható, hogy az ügy alapvetően fogja megváltoztatni a vállalatok személyes adatkezeléssel kapcsolatos ausztrál előírásokat, illetve azt, hogy egy esetleges incidens milyen bejelentési kötelezettségeket ró az adott szervezetre.