O Australian Information Commissioner (AIC) lançou uma ação civil contra a Optus por uma violação de dados em 2022 que expôs os dados pessoais de 9,5 milhões de australianos.
O processo alega que a empresa de telecomunicações Optus não tomou medidas razoáveis para proteger as informações pessoais das vítimas contra acesso e divulgação não autorizados, violando a Lei de Privacidade da Austrália de 1988.
Após uma investigação, a AIC concluiu que as práticas de segurança da Optus não eram proporcionais à natureza e ao volume de informações pessoais mantidas pelo provedor de telecomunicações.
A comissária australiana de privacidade, Carly Kind, comentou: “a violação de dados da Optus destaca alguns dos riscos associados a sites e domínios externos, particularmente quando eles interagem com bancos de dados internos que contêm informações pessoais, bem como os riscos em torno do uso de provedores terceirizados”.
Ela continuou: “Todas as organizações que detêm informações pessoais precisam garantir que tenham fortes práticas de governança e segurança de dados. Eles precisam ser completos e incorporados, para proteger contra vulnerabilidades que os agentes de ameaças estarão prontos para explorar.”
A AIC solicitou ao Tribunal Federal a imposição de uma ordem de penalidade civil contra a Optus, alegando uma violação da Lei de Privacidade para cada uma das 9,5 milhões de vítimas.
O tribunal tem o poder de impor até US$ 2,22 milhões para cada contravenção, o que significa que a Optus pode enfrentar uma enorme penalidade financeira.
Em dezembro de 2022, a penalidade civil máxima que pode ser imposta foi aumentada para US$ 50 milhões por contravenção. No entanto, isso não se aplicará neste caso, pois as supostas contravenções ocorreram de 17 de outubro de 2019 a 20 de setembro de 2022.
“Se uma ordem de penalidade civil é feita e o valor são questões perante o tribunal”, observou a AIC em um soltar datado de 8 de agosto.
Violação de dados em massa da Optus no centro das atenções
Optus, com sede em Sydney Divulgados foi atingido por um ataque cibernético em setembro de 2022, revelando que quase 10 milhões de dados de clientes atuais e antigos podem ter sido acessados.
Descobriu-se que esses dados incluíam informações confidenciais de identificação pessoal, incluindo:
- Nomes, datas de nascimento, endereços residenciais, números de telefone e endereços de e-mail
- Identificadores relacionados ao governo, incluindo números de passaporte, números de carteira de motorista, números de cartão do Medicare, informações de certidão de nascimento, informações de certidão de casamento e informações de identificação das forças armadas, da força de defesa e da polícia
A Optus disse que conseguiu impedir que os hackers roubassem detalhes de pagamento e senhas de contas dos clientes.
Os invasores supostamente emitiram um pedido de resgate à Optus para impedir que os dados fossem vendidos online. No entanto, pouco depois, um hacker reivindicando a responsabilidade pelo hack pareceu Derrubar um banco de dados contendo algumas das informações roubadas no BreachForums, pedindo desculpas aos 10.000 australianos cujos dados vazaram.
Os invasores supostamente exploraram uma API mal configurada para Acessar o conjunto de dados sem exigir nenhuma autenticação.
Resposta da Optus ao processo judicial
Em um comunicado, a Optus disse que está revisando as reivindicações da AIC.
“A Optus pede desculpas novamente aos nossos clientes e à comunidade em geral pela ocorrência do ataque cibernético de 2022. Nós nos esforçamos todos os dias para proteger as informações de nossos clientes e temos trabalhado duro para minimizar qualquer impacto que o ataque cibernético possa ter tido”, afirmou a empresa.
Acrescentou: “Continuamos a reconhecer que, à medida que o ambiente de ameaças cibernéticas evolui, a segurança de nossos clientes e suas informações pessoais nunca foi tão importante. Continuaremos a investir na segurança das informações de nossos clientes, nossos sistemas e nossos recursos de defesa cibernética.”
Crédito da imagem:T. Schneider / Shutterstock.com
O Australian Information Commissioner (AIC) lançou uma ação civil contra a Optus por uma violação de dados em 2022 que expôs os dados pessoais de 9,5 milhões de australianos.
O processo alega que a empresa de telecomunicações Optus não tomou medidas razoáveis para proteger as informações pessoais das vítimas contra acesso e divulgação não autorizados, violando a Lei de Privacidade da Austrália de 1988.
Após uma investigação, a AIC concluiu que as práticas de segurança da Optus não eram proporcionais à natureza e ao volume de informações pessoais mantidas pelo provedor de telecomunicações.
A comissária australiana de privacidade, Carly Kind, comentou: “a violação de dados da Optus destaca alguns dos riscos associados a sites e domínios externos, particularmente quando eles interagem com bancos de dados internos que contêm informações pessoais, bem como os riscos em torno do uso de provedores terceirizados”.
Ela continuou: “Todas as organizações que detêm informações pessoais precisam garantir que tenham fortes práticas de governança e segurança de dados. Eles precisam ser completos e incorporados, para proteger contra vulnerabilidades que os agentes de ameaças estarão prontos para explorar.”
A AIC solicitou ao Tribunal Federal a imposição de uma ordem de penalidade civil contra a Optus, alegando uma violação da Lei de Privacidade para cada uma das 9,5 milhões de vítimas.
O tribunal tem o poder de impor até US$ 2,22 milhões para cada contravenção, o que significa que a Optus pode enfrentar uma enorme penalidade financeira.
Em dezembro de 2022, a penalidade civil máxima que pode ser imposta foi aumentada para US$ 50 milhões por contravenção. No entanto, isso não se aplicará neste caso, pois as supostas contravenções ocorreram de 17 de outubro de 2019 a 20 de setembro de 2022.
“Se uma ordem de penalidade civil é feita e o valor são questões perante o tribunal”, observou a AIC em um soltar datado de 8 de agosto.
Violação de dados em massa da Optus no centro das atenções
Optus, com sede em Sydney Divulgados foi atingido por um ataque cibernético em setembro de 2022, revelando que quase 10 milhões de dados de clientes atuais e antigos podem ter sido acessados.
Descobriu-se que esses dados incluíam informações confidenciais de identificação pessoal, incluindo:
- Nomes, datas de nascimento, endereços residenciais, números de telefone e endereços de e-mail
- Identificadores relacionados ao governo, incluindo números de passaporte, números de carteira de motorista, números de cartão do Medicare, informações de certidão de nascimento, informações de certidão de casamento e informações de identificação das forças armadas, da força de defesa e da polícia
A Optus disse que conseguiu impedir que os hackers roubassem detalhes de pagamento e senhas de contas dos clientes.
Os invasores supostamente emitiram um pedido de resgate à Optus para impedir que os dados fossem vendidos online. No entanto, pouco depois, um hacker reivindicando a responsabilidade pelo hack pareceu Derrubar um banco de dados contendo algumas das informações roubadas no BreachForums, pedindo desculpas aos 10.000 australianos cujos dados vazaram.
Os invasores supostamente exploraram uma API mal configurada para Acessar o conjunto de dados sem exigir nenhuma autenticação.