声称已违反 Optus 并窃取 1100 万客户数据的黑客在面临执法部门越来越多的关注后撤回了勒索要求。威胁者还向 10,200 名个人数据已在黑客论坛上泄露的人道歉。
澳大利亚第二大移动运营商 Optus 于 2022 年 9 月 22 日 首次披露 了安全漏洞,称攻击者可能已经获得了客户个人信息的访问权限。
此信息包括客户的姓名、出生日期、电话号码、电子邮件地址、实际地址、驾驶执照和护照号码,但不包括帐户密码或财务信息。
2022 年 9 月 23 日,一名化名为“optusdata”的黑客在 Breached 黑客论坛上发布了一小部分被盗数据,并要求该公司支付 1,000,000 美元的赎金,否则 11,000,000 名客户的数据将被公开泄露。
Optus 没有屈服于敲诈勒索的要求,而是与执法部门合作调查这起事件。
黑客告诉记者 Jeremy Kirk ,他们使用不安全的 API 端点来窃取数据,而不是破坏公司的内部系统。
在没有收到赎金要求后,威胁行为者在同一个黑客论坛上免费为 10,000 名 Optus 客户发布了更大的被盗数据样本,允许威胁行为者下载并滥用这些数据用于自己的活动。
今天,数据泄露受害者的报告已经开始收到要求在两天内支付 2,000 澳元(1,300 美元)的消息,否则他们的数据将被出售给其他黑客。

威胁者列出了一个澳大利亚联邦银行 (CBA) 账户来接收这笔钱,该金融机构 已将其封锁。
虽然这些文本包含原始黑客使用的名称“OptusData”,但尚不清楚它们是在 SMS 文本背后还是其他下载泄露数据样本的威胁行为者的背后。
放弃敲诈勒索
今天,被指控的 Optus 黑客在 Breached 上发布了一条新消息,称由于对数据泄露的审查力度加大,被盗数据将不再出售或泄露给任何人。
威胁者还声称,被盗数据已从他们持有唯一副本的设备中删除,并向暴露的 Optus 客户和公司道歉。
“太多的眼睛。我们不会将数据出售给任何人。我们甚至不能:个人从驱动器中删除数据(仅副本),”威胁演员声称。

值得注意的是,特定用户从未被正式确认为对 Optus 违规负责的个人或团体。
然而,停止勒索该公司的决定可能是对澳大利亚联邦警察 (AFP) 昨天宣布他们启动“飓风行动”以识别违规和勒索要求背后的威胁行为者的回应。
法新社宣布:“我们知道有关在暗网上出售被盗数据的报告,这就是为什么法新社正在使用一系列专业能力监控暗网的原因。 ”
“使用假名和匿名技术的犯罪分子看不到我们,但我可以告诉你,我们可以看到他们。”
作为此次行动的一部分,AFP 正与海外执法部门密切合作,以查明和逮捕袭击幕后黑手。
如果 AFP 确定对 Optus 违规行为负责的人,他们将面临最高十年的监禁。
事件响应
Optus 继续通过 其网站上的专用门户向其客户更新情况。此外,昨天,它通过 Equifax 向所有受影响的个人提供为期 12 个月的信用监控和身份保护服务订阅。
今天,澳大利亚基础设施、运输、能源和矿业部长 Tom Koutsantonis宣布,Optus 数据泄露的受害者将 免费获得新的驾驶执照。
攻击者窃取的驾驶执照将失效,因为威胁者可以使用它们来伪造与该州系统中的条目相匹配的假文件。
最后,网络安全部长 克莱尔·奥尼尔( Clare O’Neil)在接受 ABC 采访时表示,澳大利亚目前的监管框架不够严格,公司需要加大力度保护客户数据,就像欧洲的 GDPR 一样。
这位官员批评了 Optus 的安全立场,称它为黑客“敞开了窗口”,因此这一事件可能会引发该国的监管变化。