前所未有,最严重的一起隐私泄露事件
解封后的澳洲 (33)
前所未有,最严重的一起隐私泄露事件
过去一周,澳大利亚超过三分之一的人可能都感觉非常闹心,因为他们先后收到了自己使用的电信公司Optus的邮件,说他们的部分个人信息已被泄露。
上周四9月22日,澳洲第二大电信公司Optus证实公司系统遭黑客入侵,据报道大约980万现有和之前的客户个人数据被盗,可能泄露的客户个人信息包括姓名、出生日期、电话号码、家庭地址、电子邮件和国民医疗卡(Medicare)信息、驾照号码和护照号码。
身份证件泄露的后果是,在澳洲可以用这些证件在网上开信用卡、申请金融机构贷款或者开一个新的手机号,等等。
这是澳大利亚历史上最严重的一次数据泄露事件,客户信息泄露事件的规模之大以及数据内容涉及之广前所未有。
事件过程
但此次掀起轩然大波的泄密事件的剧情走向很是抓马。
9月24日,一名自称为Optusdata的黑客在黑客论坛BreachForums上发帖,要求Optus支付相当于价值100万美元(约合153万澳元)的Monero加密货币,否则就会公布泄露的用户数据。黑客展示了200条数据集的样本以证明其真实性,这些信息是以未加密的文本文件形式提供的,其中包含国民医疗卡的详细信息、驾照号码和其他信息。
9月27日上午,这名黑客在论坛上公布了10200名Optus用户的个人信息,并威胁说,Optus有四天的时间来回应,否则相关的数据信息将被出售。他每天会发布1万条信息,直到收到赎金。
但几小时之后,黑客就删除了这些数据,同时在论坛上发帖说,有“太多的眼睛”盯着他们,所以决定不再出售或者泄露Optus任何客户的数据。他们向受数据泄露事件影响的逾万名澳洲人道歉,并表示他们“亲自删除了硬盘上的数据”,因此不会有更多的信息泄露出去。
黑客用语法错误百出的英语写道,那是他们唯一的拷贝。黑客还向Optus表示了“最深切的道歉”,称他们“希望此后一切安好”。“Optus,如果你看到这条信息,并且提供联系方法的话,我们会向你报告安全漏洞。现在没有安全邮件,没有漏洞赏金,没有信息沟通渠道。你们没有交付赎金,但我们无所谓了。当初发布泄露的数据是一个错误。”
(网图)
已经有专家证实发布道歉声明的账户与之前发布赎金威胁的账户是同一个。尽管黑客在几个小时之后就删除了泄露的信息,但10,200名澳洲人的信息数据已经出现在不同用户的新帖子中。
这名黑客的头像是一个紫色短发的女性卡通形象,其他黑客们用 “业余”、”不专业 “和 “愚蠢 “等词汇来形容他们的同行,他们告诉媒体,这次入侵很可能是一个黑客业余爱好者的杰作,在网络安全界这被称为 “脚本小子”——即使用自动程序渗透到计算机服务器和网站的人。这相当于捣蛋的青少年在火车站涂鸦,为了给他们的朋友留下深刻印象。
突然就联想起了上周末看的海风姐介绍的惊悚电影《I came by》,讲的是两位青年侵入一些有钱有势的人家里,在墙上留下“我来了“的涂鸦之作,结果在一位法官家发现了惊天秘密,也为此付出了极大的代价。
尽管此网上涂鸦非彼室内涂鸦,但大胆任性都会导向难以预见到的凶险旅程。
泄露原因及调查
针对Optus数据泄露事件,9月26日晚,澳洲联邦警察宣布展开刑事调查——“飓风行动”(Operation Hurricane),与Optus、澳洲通信管理局(ASD)和澳大利亚数字安全中心(Australian Cyber Security Centre)等部门合作进行调查。
Optus的高管们私下和公开坚称,他们没有支付150万的赎金。目前无人知道Optusdata是否因为他/他们确实害怕了而且真的删除了这些客户数据。澳大利亚战略政策研究所(ASPI)国际网络安全中心主任Fergus Hanson 说,最明显的可能性是“肇事者是业余黑客,他们意识到已经被澳大利亚联邦警察局盯上了,所以吓坏了”。他警告说:“出售或购买被盗的身份证明文件是一种犯罪行为,最高可判处10年的监禁。”
根据ABC报道,Optus公司的一位资深人士透露,这次大规模网络攻击很可能是利用了公司计算机系统的一个漏洞。这个漏洞与多数漏洞一样,似乎是人为错误造成的,公司方面想让系统集成更容易一些,以便满足行业监督机构澳大利亚通信和媒体管理局(Australian Communications and Media Authority,ACMA)的双重认证规定。这个过程涉及到通过所谓的应用程序接口向其他系统开放公司的客户身份数据库,并假定这个应用程序编程接口(API)仅由授权的公司系统使用。简单来说,这意味着公司的内部系统连接的测试网络恰好有互联网接入,能够允许访问者从外部访问内部系统的数据资料。
听上去,这似乎是一起令人崩溃且又令Optus惭愧的简单盗窃事件。不过,Optus公司否认了“人为错误”造成用户数据遭到窃取的说法,公司CEO Kelly Rosmarin表示,这是一次 "复杂的攻击",并称该公司拥有非常强大的网络安全系统。
(网图)
更换身份证件
澳洲总理阿尔巴尼斯对Optus施加了压力,认为Optus应该负责这些受影响的用户更换护照的费用,而不是纳税人。今天总理宣布Optus 已经向他确认,该公司将为所有受到此次泄露事件影响的用户支付更换护照的费用。
澳大利亚联邦卫生部长马克·巴特勒(Mark Butler )表示,政府正在考虑为那些受到Optus数据泄露影响的人更换国民医疗卡。
全澳各州或领地都已经表示可以为担心身份被泄露的用户免费更换新的驾照,费用或被豁免或可以找Optus报销。
麦子有不少朋友都使用着Optus的手机服务,也都先后收到了来自Optus的邮件,其中一个朋友的手机号在四年前就停用了,但还是收到了邮件,她唯一庆幸的是邮件中说她的身份证件信息没有被泄露。否则她现在人在国内,怎么换驾照呢?
对于Optus用户而言,随之而来的噩梦可能是会收到黑客发来的勒索短信。 已经有客户收到了这样的威胁短信,要求2天内支付2000澳元赎金,否则就出卖他的信息。
澳大利亚联邦警察局(AFP)建议人们不要点击声称来自Optus的电子邮件和短信中的链接,并对自称是Optus工作人员的电话保持警惕。
AFP与各州和领地警方已经联合成立了“守护者行动(Operation Guardian)”工作组,将帮助受影响的用户并保护澳大利亚人免受网络犯罪的侵害。该行动小组正在优先处理已被泄露身份信息的1万多用户,以确保他们不会成为金融欺诈的受害者。他们将重点监测在线论坛和其它互联网和暗网网站,以发现试图利用身份信息进行勒索欺诈的犯罪分子。
如果发现个人信息因为Optus遭到网络攻击而泄露,应该怎么做呢?专家表示,可以定期检查您的信用卡记录,看看是否有任何异常活动,并使用信用监测服务。Optus宣布将为“受影响最大”的现客户和原客户提供一年期的免费信用监控和身份保护服务。
集体诉讼
位于墨尔本的Slater and Gordon律师事务所表示正在调查Optus在数据管理方面的缺陷是否导致了近1000万现有和以前的客户的个人信息被泄露,该所计划代表Optus用户启动一项集体诉讼,他们鼓励受到影响的Optus客户在其网站上注册他们对诉讼的意向。这家律所曾在一起数据泄露案件中代表数千名个人信息在网上被泄露的寻求庇护者起诉澳大利亚政府,这些寻求庇护者的个人信息在2014年被泄露到网上。
这次数据泄露事件给澳大利亚的企业敲响了警钟:虽然存储数据所需的硬盘可能很便宜,但其中存储的数据可是非常昂贵,收集和储存不必要的个人信息会破坏隐私并产生风险。澳洲联邦政府已经开始介入并承诺进行法律改革,以阻止公司或机构在使用客户的身份文件后仍保留这些文件,并加大对未能保护客户数据的公司的经济处罚。
互联网的诞生给人们的生活带来了极大的便利,但如同任何事物一样,这是一把双刃剑,有利便有弊,从互联网的诞生到大数据时代的来临,如何保护个人隐私便成为一个老生常谈的话题。智能化水平越高,个人隐私权受到侵犯的可能性也越高,人类都成为了数据透明人,先不说黑客的恶意行为,即使在公司和机构那里,到底用户的数据是如何存放和使用,我们都是不知道的,只能寄希望于拥有数据的公司和机构能够遵守保护个人隐私的信用承诺和道德底线,让我们的个人信息不至于“裸奔”,不至于一购房就会接到N多房产中介的电话,问房子要不要出售或者要不要出租。
-------------------
再说说和疫情相关的事情。澳大利亚药品管理局(TGA)近期批准了辉瑞公司为6个月至5岁的儿童提供的COVID-19疫苗加强针。TGA上周已经批准了辉瑞公司为5至11岁儿童提供的疫苗加强针。
澳大利亚的几个州:西澳、新州、维州、昆州和南澳最近先后取消了在公共交通上佩戴口罩的规定,澳洲基本处于彻底放飞的状况,唯有新冠检测阳性患者必须隔离五天的规定还在执行中,澳总理今天宣布此项强制防疫措施将于10月14日结束,由于新冠疫情发放的隔离补助也将随之取消,但隔离期仍将适用于脆弱环境中的工作人员,如医院工作人员和老年护理人员。这一决定意味着从此之后,澳洲新冠检测阳性的民众是否居家隔离,完全靠自觉了,也意味着新冠疫情在澳洲爆发近两年半导致的非正常生活要彻底回归正常化了。
博友林向田兄提出建议,疫情报道可以结束了。我纠结了一下,确实也该结束了,只是已经坚持了这么久,疫情数据我还接着更新吧,也不费事,除非约翰斯·霍普金斯大学彻底停更了,希望那意味着新冠病毒已经在全球灰溜溜地自我消亡了。
今日疫情:全澳本周(9月23日-9月29日)新增病例共38,516例,日均5,502例;全国人口两针疫苗接种率88.13%,16岁以上两针接种率高于95%。根据约翰斯·霍普金斯大学发布的统计数据,澳洲累计病例为10,209,239例,死亡人数增至14,984例;全球累计病例超6.17亿,死亡人数逾654万;全球单日新增确诊病例459,612例,新增死亡病例1,870例。数据显示,美国、德国、法国、希腊、日本等国家位列单日新增确诊病例数前五;美国、俄罗斯、希腊、德国、法国等国家位列单日新增死亡病例数前五。
根据相关报道, 1)俄乌战争进入第219天,9月23-27日,乌克兰的四个州:顿涅茨克、卢甘斯克、扎波罗热和赫尔松启动了是否加入俄罗斯的“全民公投”,投票除了在当地投票站进行,工作人员还在士兵的陪同下挨家挨户去收集选票。公投结果自然没有出乎外界的预期:入俄支持率从87.05%-99.23%。 9月27日联合国安理会召开紧急会议,没有任何国家承认公投结果。但普京于当地时间9月30日签署了承认赫尔松和扎波罗热为“独立”于乌克兰的地区的法令,这些法令立即生效。接下来就是要宣布接受四地加入俄联邦了。俄罗斯吞并乌克兰四个俄占区标志着俄乌战争危机的显著升级。
普京签署最新的部分军事动员令后,给俄罗斯人带来恐慌,俄罗斯各地爆发反战抗议示威,成千上万的人逃离俄罗斯。本周初,始于俄罗斯的两条巨型天然气管道分别发现了三个泄漏点。管道中充满燃料,破裂产生了宽度达800米的气泡,上浮到丹麦博恩霍尔姆岛附近的波罗的海表面。这两条主要管道是为了从波罗的海海底将俄罗斯的天然气输送到德国。关于泄露发生的原因,大家各执一词,德国、瑞典和丹麦认为管道泄漏并非事故,而是蓄意破坏,瑞典还探测到两次水下爆炸。欧洲和美国的领导人表示,这是一起蓄意破坏行为,猜测指向俄罗斯;普京则把矛头指向美国。
2)飓风“伊恩(Ian)”于美国东部时间9月28日下午3点左右以4级飓风强度在美国佛罗里达州西南部登陆,最大持续风速达到每小时240公里。多地发布了洪水紧急状态预警,大量建筑和车辆被淹没或浸泡,超过200万用户断电。根据专家估算,“伊恩”所造成的破坏和经济损失可能达到450亿到700亿美元。
3)澳大利亚昆士兰州宣布将在位于Mackay西部的Pioneer Burdekin建造世界上最大的抽水蓄能电站,抽水机由可再生能源驱动。昆州计划在2035年前逐步淘汰煤电,实现80%为可再生能源。同时,澳洲最大的发电商AGL公司也宣布计划在2035财年前关闭所有燃煤发电站,年温室气体排放量将从4000万吨减少到零。
4)9月29日0—24时,中国31个省(自治区、直辖市)和新疆生产建设兵团报告新增本土确诊病例97例(贵州17例,广东16例,黑龙江13例,天津11例,四川8例,云南6例,西藏6例,陕西4例,山西3例,福建3例,宁夏3例,河北2例,北京1例,内蒙古1例,河南1例,湖南1例,重庆1例);新增本土无症状感染者625例(宁夏176例,贵州80例,西藏66例,天津61例,黑龙江54例,新疆28例,云南25例,河南19例,四川17例,广东15例,陕西15例,河北9例,山东9例,广西9例,浙江7例,安徽7例,甘肃7例,上海6例,江苏4例,湖北4例,青海4例,湖南2例,江西1例)。