Em meio a megavazamento de dados da Optus, hacker se arrepende e pede desculpas
Ataque à segunda maior empresa de telecomunicações do país já é considerado um dos maiores da história; empresa já trabalha com autoridades para identificar autor
Ataque à segunda maior empresa de telecomunicações do país já é considerado um dos maiores da história; empresa já trabalha com autoridades para identificar autor
Na semana passada, cerca de 9,8 milhões de clientes tiveram seus dados vazados em um ataque à Optus, segunda maior operadora da Austrália. Pois, hoje, o hacker que se dizia responsável pelo vazamento voltou atrás e pediu desculpas à empresa e às pessoas. Ainda assim, tanto a companhia quanto as autoridades competentes não têm medido esforços para achar os verdadeiros autores desse ataque, que já é considerado um dos maiores na história do país.
Identificado como “Optusdata”, o hacker publicou em um fórum dois arquivos com cerca de 200 dos supostos dados roubados. Na mesma mensagem, ele pedia US$ 1 milhão na criptomoeda Monero para não vender as informações para outros criminosos.
Nesta terça-feira (27), a mesma conta publicou mais 10 mil registros de clientes da Optus. Pouco tempo depois, excluiu tudo e disse não estar mais interessado no dinheiro: “Muitos olhos. Não venderemos dados para ninguém. Desculpem também os 10.200 australianos cujos dados vazaram”.
O criminoso se desculpou com a Optus e disse que teria relatado o ataque se a operadora tivesse um canal para denúncias. De acordo com o suposto hacker, nenhum valor havia sido pago. Procurada pelo The Guardian, a Optus se recusou a comentar.
Na última quinta-feira (22), a operadora australiana informou que estava investigando um possível acesso não autorizado a informações de clientes. Entre esses dados, estariam: nomes, endereços, datas de nascimento, números de telefone, emails, número da carteira de motorista e do passaporte.
“Embora nem todos possam ser afetados, e nossa investigação ainda não esteja concluída, queremos que todos os nossos clientes estejam cientes do que aconteceu o mais rápido possível, para que possam aumentar sua vigilância”, informou Kelly Bayer Rosmarin, diretora executiva da empresa.
A Optus disse também que “encerrou” o ataque assim que o descobriu e que nenhum cliente havia sofrido danos. Além disso, a companhia informou que notificou a polícia sobre o ocorrido e está trabalhando com o centro de segurança cibernética da Austrália para lidar com possíveis riscos aos clientes.
Embora a operadora não tenha especificado quando o ataque ocorreu ou quantos clientes podem ser afetados, a imprensa local aponta que dados de até 9,8 milhões de clientes Optus teriam sido roubados. O número representa cerca de 40% da população australiana, fazendo deste um dos maiores vazamentos da história do país.
Segundo uma reportagem da ABC australiana, o vazamento teria se dado por meio de um API para um banco de dados dos clientes. Em resumo, o criminoso teria extraído as informações de uma API não autenticada, ou seja, que não exigia login para acessá-la.
Diante disso, o governo da Austrália tem planejado rever a legislação que se debruça sobre a privacidade dos usuários. Além de desencadear pedidos de leis mais fortes para proteger dados sensíveis, o incidente também abriu os olhos para punir severamente as empresas que não cuidam dessas informações.
Para Anthony Albanese, primeiro-ministro da Austrália, as leis devem ser modificadas para que as empresas sejam obrigadas a compartilhar detalhes com os bancos sobre os clientes afetados em vazamentos para evitar qualquer tipo de fraude.
Embora a Austrália tenha uma lei que orienta as organizações em caso de violação de dados, ela é menos rigorosa do que a Lei Geral de Proteção de Dados (LGPD), no Brasil.
Desde que o ataque cibernético veio à tona, polícia federal lançou a Operação Furacão. Em parceria com as autoridades estrangeiras, o objetivo é encontrar quem obteve os dados e para quem estava tentando vendê-los.
Com informações: The Guardian e The Verge