Un experto en tecnología ha refutado las afirmaciones de que el ciberhack de Optus que expuso los detalles confidenciales de millones de clientes era «sofisticado», diciendo que los piratas informáticos accedieron a una «mina de oro» en una simple brecha de seguridad.
A los clientes de Optus pasados y presentes les han robado potencialmente sus direcciones personales, fechas de nacimiento, detalles de pasaporte, licencias de conducir, números de teléfono y direcciones de correo electrónico la semana pasada en la mayor violación de datos de Australia.
El CEO de Optus, Kelly Bayer Rosmarin, describió el ciberhack como un «ataque sofisticado» que comprometió los registros de 9,8 millones de personas en el «peor escenario absoluto».
Sin embargo, el experto en tecnología y editor de EFTM.com Trevor Long dijo que no llamaría a la violación de datos un «hackeo» ya que la seguridad de la compañía de telecomunicaciones «simplemente no era lo suficientemente buena».
Optus calificó el ciberhack, en el que potencialmente se robaron los datos personales de casi 10 millones de australianos, como un «ataque sofisticado» (imagen de archivo, escaparate de Optus)
«Si vamos a creerle al hacker, esto ni siquiera fue un truco sofisticado, ni siquiera es un truco», dijo Long al Daily Mail Australia.
‘Pudieron explotar un sistema interno y acceder a la información en una simple brecha de seguridad.
«Es una mina de oro para el fraude de identidad y los piratas informáticos y ahora ya hay 10.000 personas cuyos detalles están disponibles para los estafadores».
Long explicó que el pirata informático pudo encontrar la dirección de la computadora central de la empresa de telecomunicaciones que contiene la base de datos de registros e información de los clientes.
El hacker, conocido como ‘Optushack’, supuestamente solicitó los registros y se le dio acceso a la información sin tener que proporcionar autenticación o contraseña.
De ser cierto, Long calificó la falta de seguridad como un «defecto fundamental» en las defensas de ciberseguridad de Optus.
‘Si el hacker le dice a la gente sobre su acceso a la API [Application Programming Interface] siendo tan simple y no autenticado, es simplemente una violación y eso lo empeora aún más”, dijo Long.
El experto en tecnología y editor de EFTM.com Trevor Long (en la foto) dijo que el ataque cibernético fue una «simple brecha de seguridad» y afirmó que las defensas de Optus «simplemente no eran lo suficientemente buenas».
Long dijo que Optus necesita «mirarse a sí mismos», ya que cree que los datos no estaban encriptados a pesar de que la compañía de telecomunicaciones afirma que sí.
“Es como alguien con una casa realmente grande que se va de vacaciones. Cierran todas las puertas y todas las ventanas, pero desafortunadamente esas cerraduras fueron forzadas o quedaron ligeramente entreabiertas”, dijo Long.
“En cualquier caso, nadie duda de que Optus tenga seguridad, pero desafortunadamente la seguridad no fue lo suficientemente buena esta vez.
‘Lo más importante es que Optus dice que los datos estaban encriptados, pero no creo que lo estuvieran. Para un hacker obtener acceso a la información y descifrarla, es en sí mismo un problema aún mayor.
«Creo que la información no estaba encriptada y debería haberlo estado y ahí es donde probablemente deberían haberse mirado más a sí mismos y a su seguridad».
En una publicación extraña el martes por la mañana, ‘optushacker’ afirmó que había ‘demasiados ojos’ sobre ellos y dijo que no venderían ni filtrarían los datos pirateados.
En un inglés entrecortado, optushacker dijo: ‘La más profunda disculpa a Optus por esto. Espero que todo salga bien de esto’.
El pirata informático también afirmó que le habría dicho a la empresa de telecomunicaciones sobre su vulnerabilidad, pero que no había forma de ponerse en contacto con ellos.
«Optus, si su (sic) lectura, habríamos informado sobre la vulnerabilidad si tuviera un método de contacto», continuó la disculpa.
‘Sin correo de seguridad, sin recompensas por errores, de ninguna manera demasiado mensaje. No se pagó el rescate, pero ya no nos importa.
El extraordinario retroceso se produce horas después de que el ciberdelincuente amenazara con publicar otros 10.000 registros cada día durante los próximos cuatro días si no se pagaba un rescate de 1,5 millones de dólares.
Los registros de clientes que el pirata informático ha publicado hasta ahora incluyen pasaporte, licencia de conducir y números de Medicare, así como fechas de nacimiento y domicilios.
El pirata informático escribió que no podían eliminar más datos, incluso si quisieran, porque tenían «datos eliminados personalmente de la unidad», que afirman que es la única copia.
En una publicación extraña el martes por la mañana, ‘optushacker’ afirmó que había ‘demasiados ojos’ sobre ellos y dijo que no venderían ni filtrarían los datos pirateados de hasta 10 millones de australianos.
Se produce después de que el hacker, conocido como ‘Optushack’, apareciera en la dark web exigiendo a Optus que pagara un rescate de 1,5 millones de dólares o publicarían otros 10.000 registros cada día durante los próximos cuatro días.
Long dijo que el evento fue un recordatorio de que se necesita una fuerte seguridad personal e instó a los australianos a usar la autenticación de dos factores y actualizar sus contraseñas.
«Este evento es un gran recordatorio para todos de que nosotros mismos necesitamos una fuerte seguridad», dijo Long.
“Es un buen momento para crear una contraseña nueva y segura para su banco, su correo electrónico y para cosas como sus sitios de redes sociales y configurar la autenticación de dos factores.
Esas dos cosas le brindarán una gran seguridad en su servicio y en la mayoría de sus plataformas.
La violación de datos, que se ubica como una de las más grandes del país, está siendo investigada por la Policía Federal Australiana.
El lunes, la ministra del Interior, Clare O’Neil, lanzó un ataque mordaz contra Optus en el parlamento por permitir un hack «básico» y dijo que el gobierno estaba buscando formas de mitigar las consecuencias.
«La violación es de una naturaleza que no deberíamos esperar ver en un gran proveedor de telecomunicaciones en este país», dijo la Sra. O’Neil.
«Esperamos que Optus continúe haciendo todo lo posible para apoyar a sus clientes y antiguos clientes».
Long explicó que el pirata informático obtuvo acceso a la computadora central de la empresa de telecomunicaciones, que albergaba una base de datos de clientes, y pudo descargar información sin autenticación ni contraseña (imagen de archivo, pirata informático trabajando con una computadora portátil)
La Sra. O’Neil dijo que el gobierno buscaba trabajar con los reguladores financieros y el sector bancario para ver qué pasos se podían tomar para proteger a los clientes afectados.
«Una pregunta importante es si los requisitos de seguridad cibernética que imponemos a los grandes proveedores de telecomunicaciones en este país son adecuados para su propósito», dijo la Sra. O’Neil.
«En otras jurisdicciones, una violación de datos de este tamaño resultará en multas que ascienden a cientos de millones de dólares».
El primer ministro Anthony Albanese dijo que la violación de datos fue una «gran llamada de atención».
Mientras el gobierno se prepara para introducir nuevas medidas de seguridad cibernética, Albanese dijo que las nuevas protecciones significarían que los bancos y otras instituciones serían informados mucho más rápido cuando ocurriera una violación para que no se pudieran usar los datos personales.
El lunes, Optus anunció que a algunos clientes se les ofrecerá una suscripción de 12 meses al servicio de monitoreo de seguridad Equifax Protect.
«Los clientes más afectados recibirán comunicaciones directas de Optus en los próximos días sobre cómo iniciar su suscripción sin costo alguno», dijo Optus en un comunicado.
«Tenga en cuenta que ninguna comunicación de Optus relacionada con este incidente incluirá ningún enlace, ya que reconocemos que hay delincuentes que utilizarán este incidente para realizar estafas de phishing».