Az ország legsúlyosabb adatlopási incidense gyorsan felkavarta a kedélyeket. A politikusi kritikákat a vállalatvezetés igyekszik terelni, miközben a hatságok az FBI-t is felkérték az együttműködésre.

Mint arról hétfőn mi is beszámoltunk, Ausztrália legnagyobb horderejű kiberbiztonsági incidensére derült fény múlt hét végén. Az áldozat az ország második legnagyobb telekommunikációs vállalata, az Optus volt, ahonnan az előzetes becslések szerint akár 10 millió ügyfél személyes adatát emelhették le az elkövetők. Habár azóta csak pár nap telt el, a történet gyorsan újabb és újabb kanyarokat vett, miközben számos fontos részlet tisztázása továbbra is várat magára.

Politikai vihar

Tegnap az ausztrál főügyész jelentette be, hogy az adatbetörés kivizsgálását az Egyesült Államok Szövetségi Nyomozó Irodájának szakértőivel szeretnék erősíteni, ezért az illetékes hatóságok már kapcsolatba is léptek az FBI-jal. Mindeközben a belügyminiszter egy parlamenti felszólalásában azt mondta, hogy az Optus "nyitva hagyta az ablakot". Claire O'Neil a megjegyzésével valószínűleg arra a bennfentes beszámolóra utalt, amely szerint a sikeres támadás mögött emberi mulasztás áll. A cég egyik munkatársa ugyanis azt nyilatkozta a sajtónak, hogy az Optus rendszerében lévő ügyféladatok külső felekkel történő ellenőrzésére szolgáló API-t egy hibásan konfigurált teszthálózat miatt bárki "munkára foghatta". 

A sajtóértesüléseket és a politikusi megnyilvánulásokat az Optus, illetve annak vezetője, Kelly Bayer Rosmarin is igyekezett hárítani. Utóbbi szerint a belügyminiszter megjegyzései azelőtt hangzottak el, hogy a vállalat tájékoztatta volna a politikust.

Azt sem tudni, pontosan mit és kik loptak el

Ami az elkövető, vagy elkövetők kilétét illeti, egyelőre ott sem tisztább a kép. Az biztos, hogy egy hírhedt hekkerfórumon megjelent egy 1 millió dolláros követelés. A poszt megjelentetőjével pedig egy ausztrál informatikai újságírónak sikerült felvennie a kapcsolatot. Jeremy Kirk kapott is "mintát" a fogásból, amelyek valóban Optus-ügyfelek adatait tartalmazták. Ami ennél is érdekesebb, hogy az újságíró beszámolója szerint a kapott csomagban az állami egészségbiztosítási rendszerhez, a Medicare-hez kötődő személyes adatok is szerepeltek.

Utóbbi egyrészt azért fontos, mivel a telekommunikációs vállalat eddig azt állította, hogy a hekkereknek "csak" az érintettek lakcíméhez, jogosítvány- és útlevélszámához sikerült hozzáférni. Másrészt a Medicare rendszerében lévő azonosító számokat nem csak az egészségügyben, hanem egyéb hivatalos ügyek intézésekor is fel lehet használni, mivel az ausztrál jogszabályok több dokumentum bemutatását is megkövetelik a személyazonosság megállapításához. Mindez értelemszerűen kitágítja a lopott adatokkal elkövethető potenciális visszaélési lehetőségek körét.

Miközben a nyilvánosság épp az új fejleményeket emésztette, a hekkerfórumon váratlan bejelentést tett az állítólagos elkövetői kör. A támadó(k) szerint ugyanis túl nagy figyelem irányult az akcióra, így inkább felhagynak a váltságdíj erőltetésével, és az illetéktelenül szerzett adatcsomag törlésével be is fejezik a történetet. Az erről szóló poszt azért még odaszúr egyet magának az Optusnak is, mondván hogy a felfedezett biztonsági rést először be akarták jelenteni, ám erre a cég nem kínál megfelelő kapcsolatfelvételi lehetőséget (nincs biztonsági témáknak szentelt értesítési mailcím, nincs bug bounty program stb.).

Ez valószínűleg azonban a hatóságokat kevéssé fogja meghatni, a nyomozás pedig természetesen folytatódik, a jelek szerint immár az FBI szakértőinek bevonásával. Ha sikerrel járnak, akkor majd az is kiderülhet, pontosan mi történt az Optus rendszerében.

Az viszont már most borítékolható, hogy az ügy alapvetően fogja megváltoztatni a vállalatok személyes adatkezeléssel kapcsolatos ausztrál előírásokat, illetve azt, hogy egy esetleges incidens milyen bejelentési kötelezettségeket ró az adott szervezetre.

Biztonság

Az Apple-nél is belátták, hogy vége az eddigi világnak

A WSJ szerint eldőlt, hogy az Apple elviszi Kínából a termelésének egy jelentős részét, bár a jelenlegi gazdasági helyzetben ez rendkvül nehéz feladatnak ígérkezik.
 
Bár az 5G-s beruházások megtérülését biztosító alkalmazási területeket még a szolgáltatók és az ügyfelek is keresik, a fejlesztési kényszer megvan, mert aki ebből kimarad, lemarad.

a melléklet támogatója a Yettel

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.