Miliony Australijczyków ostatnio źle radziły sobie ze swoimi danymi osobowymi.
Niezależnie od tego, czy są to firmy telekomunikacyjne, takie jak Optus, prywatne firmy ubezpieczeniowe, takie jak Medibank, sklepy internetowe, takie jak MyDeal, czy mniejsze sklepy internetowe, takie jak Vinomofo – hakerzy regularnie uzyskują nasze dane.
W związku z tym wszystkim możesz się zastanawiać, co dokładnie hakerzy robią z Twoimi danymi i jak mogą na Ciebie wpłynąć.
Czy Australia jest szczególnie narażona na naruszenia danych? I czy można coś z tym zrobić?
Rozmawialiśmy z kilkoma ekspertami, aby to przeanalizować.
iść na ryby
Dla osób, które włamały się do Twoich danych, wszystko sprowadza się do pieniędzy.
W większości przypadków prawdopodobnie sprzedają Twoje dane innym, którzy wykorzystają je na różne sposoby, takie jak kradzież tożsamości lub wyłudzenie, i – lub – spróbują szantażować firmę, której je ukradli.
Dużo się mówi o sprzedaży danych ludzi w tak zwanej ciemnej sieci – witrynach, do których przeciętny człowiek nie ma dostępu bez korzystania z anonimizatorów, takich jak Tor.
Ale ekspert ds. bezpieczeństwa internetowego Troy Hunt, który prowadzi witrynę haveibeenpwned.com Powiedział, że dane są często sprzedawane w „czystej sieci”: stronach internetowych, do których każdy może uzyskać dostęp.
Powiedział, że dane, takie jak te, które zostały przechwycone podczas włamania Optus, są często wykorzystywane najpierw w masowych automatycznych próbach phishingu.
Ponieważ hakerzy mają Twój adres e-mail, wiedzą, że jesteś klientem Optus i mają inne dane osobowe — na przykład Twoje imię i nazwisko oraz adres — mogą szybko utworzyć tysiące lub miliony stosunkowo przekonujących wiadomości e-mail, które wyglądają, jakby pochodziły od Optus, powiedział pan Hunt.
Wiadomość e-mail może skierować Cię po imieniu, zauważyć, że jesteś klientem Optus i uzyskać inne informacje uzyskane w wyniku naruszenia, próbując udowodnić legalność wiadomości e-mail.
Następnie mogą poprosić o podanie numeru karty kredytowej lub poprosić o więcej informacji.
„Wyobraź sobie, że celujesz w 10 milionów ludzi, prawdopodobnie dostaniesz jedną na tysiąc” – powiedział.
„Ale to jak 10 000 osób przyłapanych na oszustwie”.
Wysoce ukierunkowane oszustwa
Według profesor Vanessy Teague, kryptologa z Australian National University, dane mogą być również wykorzystywane w bardziej ukierunkowany sposób.
„W przypadku naruszenia Optus wydaje się, że dotyczy to przede wszystkim dokumentów tożsamości” – powiedziała.
„A to, do czego złośliwa osoba może go użyć, jest dokładnie tym, do czego możesz go użyć – i dokładnym powodem, dla którego Optus został do tego stworzony – jest zidentyfikowanie tej osoby w środowisku online” – powiedziała.
Informacje przechowywane przez Optus do tworzenia kont mobilnych zostały wstępnie zebrane. Przed zawarciem umowy telefonicznej dostawcy usług telekomunikacyjnych przeprowadzają pełne kontrole tożsamości, zwykle wymagające 100 punktów tożsamości.
W Australii uzyskanie „telefonu z funkcją nagrywania” – telefonu niepołączonego z Twoim prawdziwym imieniem i nazwiskiem – jest trudne, a przestępcy mogą wykorzystać 100 punktów Twojej wiedzy, aby połączyć telefon z Twoim imieniem i używać go jako telefonu z funkcją nagrywania.
Prof. Teague powiedział, że te same informacje, które możesz podać swojemu dostawcy usług telefonii komórkowej, są często wykorzystywane do uzyskania linii kredytowych, co może pozwolić komuś wydać dużo pieniędzy w Twoim imieniu.
W przypadku naruszenia Medibanku wciąż pojawiają się szczegóły dotyczące tego, co dokładnie zostało skradzione. Możliwe, że w tym również zostały naruszone informacje o tożsamości.
Niepokojąca jest również sugestia, że skradziono dokumentację medyczną, która mogłaby zostać wykorzystana do wyłudzenia pieniędzy od ofiar.
„Z jednej strony, [medical data] „To nie jest przydatne w przypadku oszustwa” – powiedział profesor Teague.
„Z drugiej strony prawdopodobnie daje to większą władzę nad niektórymi ludźmi, ponieważ może ujawnić bardzo intymne szczegóły dotyczące osoby”
Zła polityka „bezpośrednio przyczynia się do obecnej sytuacji”
Biorąc pod uwagę wszystkie nadużycia, które mają miejsce w Australii, możesz się zastanawiać, czy kraj ten jest szczególnie zagrożony?
Profesor Teague krytykuje podejście Australii do bezpieczeństwa, które, jak powiedziała, pozostawiło otwarte drzwi dla ataków i włamań.
„Mieliśmy dekadę polityki antybezpieczeństwa” – powiedziała.
„Mamy przepisy, które wymagają danych, których nie potrzebujesz, prawa, które wymagają, abyśmy przechowywali dane, których nie musisz przechowywać”.
Ponadto, powiedziała, istnieją inne przepisy, które zabraniają pewnego szyfrowania i uwierzytelniania, które zapewniałyby bezpieczeństwo tych informacji.
Prof. Teague powiedziała, że poprawki do Ustawy o Komunikacji wymagające przechowywania metadanych powinny zostać uchylone, wraz z Ustawą o Pomocy i Dostępie oraz Ustawą o Identyfikacji i Zakłóceniu, które według niej podważają bezpieczeństwo, szyfrowanie i uwierzytelnianie.
Powiedziała, że poprzedni rząd postrzegał szyfrowanie jako narzędzie wykorzystywane przez przestępców i w rezultacie utrudnił legalnym organizacjom korzystanie z szyfrowania w celu zapewnienia bezpieczeństwa danych osobowych.
„Zaskakujące jest, że nie mieliśmy częściej do czynienia z poważniejszymi naruszeniami bezpieczeństwa danych” – powiedział profesor Teague.
„Myślę, że ta zła polityka bezpośrednio przyczynia się do obecnej sytuacji i powinna zostać odwrócona”.
Australia nie korzysta z dobrej technologii ochrony prywatności
Hunt powiedział, że Australijczycy są bardziej narażeni, niż musieli.
Powiedział, że gdy ktoś idzie do baru, aby udowodnić, że ma ukończone 18 lat, zwykle pokaże prawo jazdy.
Ale kiedy to zrobili, przekazali również zdjęcie, numer rejestracyjny i adres domowy, narażając to wszystko na potencjalną kradzież lub nadużycie.
Hunt powiedział, że cyfrowe prawa jazdy mogą zawierać tylko informacje wymagane w danym momencie. Podobnie jak fakt, że masz ukończone 18 lat.
Powiedział, że to „szalone”, że nadal używamy prostych rzeczy, takich jak numery licencji, jako identyfikacji.
„Tego rodzaju rzeczy są całkowicie szalone, zwłaszcza w czasach, gdy mamy enkodery w naszych kieszeniach”.
Profesor Teague zgodził się i powiedział, że Belgia i Estonia używają teraz narzędzi identyfikacji kryptograficznej, które są łatwiejsze w użyciu i znacznie trudniejsze do kradzieży.
Czy jest coś, co możesz zrobić, aby poprawić swoje bezpieczeństwo?
Krótka odpowiedź pana Hunta i profesora Teague jest prosta: niewiele.
Po naruszeniu, takim jak Optus, można podjąć środki w celu zmniejszenia wpływu, powiedział Hunt, na przykład wymiana prawa jazdy i paszportu.
Australijskie Centrum Bezpieczeństwa Cybernetycznego i minister spraw wewnętrznych Claire O’Neill położyły nacisk na sprawdzanie i poprawę bezpieczeństwa wszystkich ważnych kont: w miarę możliwości przeprowadzanie uwierzytelniania dwuskładnikowego, upewnianie się, że hasła są bezpieczne i unikalne oraz ochronę przed próbami phishingu.
Eksperci zalecają również sprawdzenie, jaka część Twoich informacji jest już dostępna online — na przykład dane kontaktowe LinkedIn lub daty urodzenia na Facebooku — które przestępcy, a także wszystko, co odzyskali w wyniku włamania, mogą wykorzystać do kradzieży Twojej tożsamości.
Profesor Teague powiedział, że niewiele można zrobić, aby zmienić swoją dokumentację medyczną, jeśli okaże się, że zostały one skradzione podczas naruszenia Medibanku.
Po przekazaniu danych rzadko zależy od Ciebie, co stanie się z nimi dalej.
„Tak naprawdę jedyne, co możesz zrobić, to odmówić jej przekazania, z wyjątkiem absolutnie nieuniknionych przypadków, które niestety są coraz rzadsze” – powiedziała.
„Całkowity miłośnik kawy. Miłośnik podróży. Muzyczny ninja. Bekonowy kujon. Beeraholik.”
More Stories
Narodowy Bank Zjednoczonych Emiratów Arabskich stwierdził, że poniedziałkowa przerwa w świadczeniu usług, która dotknęła klientów, nie była cyberatakiem
Stopy procentowe w Polsce są stabilne; Nowe prognozy gospodarcze są zgodne z oczekiwaniami Artykuły
Ekspert ds. kredytów hipotecznych Mark Burris odpowiada na pytanie nurtujące każdego właściciela domu