На прошлой неделе хакер под ником optusdata сообщил о взломе второй по величине телекоммуникационной компании в Австралии, Optus. Злоумышленник заявил, что украл данные 11 млн абонентов и потребовал выкуп, но теперь, когда им заинтересовались правоохранительные органы, взломщик уверяет, что удалил все данные и приносит извинения пострадавшим.
Хакер утверждал, что в его руки попали такие данные, как имена клиентов, даты рождения, номера телефонов, адреса электронной почты, физические адреса, информация о водительских правах и номерах паспортов, но не пароли от учетных записей или финансовая информация. Стоит отметить, что в Optus о масштабах утечки ничего не писали, и информацию о 11 млн пострадавших пользователей сообщали местные СМИ и сам хакер.
В качестве доказательства своих слов злоумышленник опубликовал на хак-форуме Breached образец украденных данных (информацию 10 000 пользователей) и потребовал, чтобы компания заплатила выкуп в размере 1 000 000 долларов США, а в противном случае пригрозил раскрыть все украденные данные вообще.
ИБ-эксперты говорят, что жертвы этой утечки уже начали получать сообщения от мошенников, которые требуют 2000 австралийских долларов (около 1300 долларов США) в течение двух дней, или обещают перепродать данные другим хакерам.
Интересно, что в беседе с журналистом Джереми Кирком optusdata заявил, что проник в сеть компании через незащищенный API-эндпоинт, и в сущности ничего не взламывал.
Скандал вокруг взлома и вымогательства получился громкий, а руководство Optus не стало вести переговоры с хакером, обратившись прямиком в правоохранительные органы. В итоге Федеральная полиция Австралии объявила о начале операции Hurricane, в рамках которой планируется найти и арестовать людей, стоящих за этим взломом и утечкой.
«Преступники, которые используют ники и технологии анонимизации, не видят нас, но можем заверить, мы видим их», — заявили правоохранители.
Так как информация о случившемся достигла самого высокого уровня, министр инфраструктуры, транспорта, энергетики и горнодобывающей промышленности Южной Австралии Том Кутсантонис объявил, что все жертвы этой утечки данных получат новые водительские права бесплатно.
После привлечения столь пристального внимания со стороны властей, optusdata пришлось пойти на попятную. В своем новом сообщении на хак-форуме Breached хакер поспешил заверить, что более не будет распространять ворованную информацию и из-за усиленного контроля за утечкой. Также он заявляет, что все данные удалены уже с его устройства (якобы это была единственная копия), и извиняется как перед всеми пострадавшими клиентами Optus, так и перед самой компанией.
