Von Renju Jose und Byron Kaye
SYDNEY (Reuters) – Der australische Telekommunikationsriese Optus geriet am Dienstag wegen eines massiven Cyberangriffs unter weiteren Beschuss der Regierung, während ein anonymes Online-Konto, von dem angenommen wird, dass es das der Hacker ist, sagte, es lösche gestohlene Daten und ziehe eine Lösegeldforderung von 1 Million US-Dollar zurück.
Optus, das Unternehmen von Singapore Telecoms, der zweitgrößte Mobilfunkbetreiber des Landes, sagte letzte Woche, dass die Daten von bis zu 10 Millionen Kunden, darunter Privatadressen, Führerscheine und Passnummern, bei einer der größten Datenschutzverletzungen Australiens kompromittiert worden seien.
Ein Konto namens „optusdata“ in einem Online-Forum, von dem Cybersicherheitsexperten glauben, dass es das der Hacker ist, hatte damit gedroht, die Daten von 10.000 Optus-Kunden pro Tag zu veröffentlichen, wenn sie nicht 1 Million Dollar in Kryptowährung erhalten.
Am Dienstag teilten die Kontoinhaber jedoch mit, sie hätten die Daten wegen „zu vieler Augen“ gelöscht, zogen ihre Lösegeldforderung zurück und bedauerten, bereits Daten von 10.200 Australiern geleakt zu haben.
Optus und die australische Bundespolizei, die mit dem Federal Bureau of Investigation und anderen Offshore-Strafverfolgungsbehörden zusammengearbeitet haben, um den Cyberangriff zu untersuchen, lehnten es ab, sich dazu zu äußern, ob sie glauben, dass die Inhaber von „optusdata“-Konten hinter dem Verstoß stecken.
Die australische Bundesregierung hat Optus für den Verstoß verantwortlich gemacht, eine Überarbeitung der Datenschutzbestimmungen und höhere Bußgelder angekündigt und angedeutet, dass das Unternehmen Hackern „effektiv das Fenster offen gelassen“ habe, um Daten zu stehlen.
Die Ministerin für Cybersicherheit, Clare O'Neil, sagte, sie sei „unglaublich besorgt … über Berichte, dass persönliche Informationen aus der Optus-Datenpanne, einschließlich Medicare-Nummern, jetzt kostenlos und gegen Lösegeld angeboten werden“, und bezog sich dabei auf das staatliche Krankenversicherungssystem.
Kelly Bayer Rosmarin, Chief Executive von Optus, sagte, der Vorfall habe „viele Fehlinformationen“ erzeugt und das Unternehmen nehme den Datenschutz ernst.
„Angesichts der Tatsache, dass wir nicht viel sagen dürfen, weil die Polizei uns dazu aufgefordert hat, kann ich nur sagen … dass unsere Daten verschlüsselt waren und wir mehrere Schutzspieler hatten“, sagte Bayer Rosmarin gegenüber ABC Radio.
Sie fügte hinzu, dass die meisten Kunden verstehen, dass „wir nicht die Bösewichte sind“ und dass das Unternehmen nichts absichtlich getan hat, um Daten zu gefährden.
Jeremy Kirk, ein Cybersicherheitsforscher und Autor, der sagte, er sei mit dem mutmaßlichen Hacker in Kontakt gestanden, twitterte, es sei unklar, warum sie ihre Meinung geändert hätten, aber „das ändert nichts am Risiko für jeden, der exponiert ist“.
„Die Optus-Daten wurden gestohlen und wir können dieser Person nicht vertrauen. Keine Wache sollte im Stich gelassen werden“, schrieb er.
(Berichterstattung von Renju Jose, Lewis Jackson und Byron Kaye; Redaktion von Gerry Doyle und Edwina Gibbs)
