據澳洲廣播公司ABC的報導指,有同樣自稱為Otpus 數據洩露案「幕後黑手」的用戶,今日(周二)在網站 BreachForums帖文指,「我們沒有獲得贖金,但已不再理會」,並承認「最初選擇發布有關數據是錯誤。」
有網絡安全專家認為,有理由相信訊息是真實的,但消息尚未得到 Optus 或澳洲聯邦警察 (AFP) 的確認。
該賬戶今日發布的最新帖文中表示,他們似乎有意退縮,理由是「事件已太矚目」。
「我們不會將數據出售給任何人。」疑為黑客的帳號
「現在即使我們想這樣做,已做不到:因為我們已刪除數據(而檔案只有一個)。」
該用戶表示,他們對受數據洩露問題影響的澳洲人表示歉意。該賬號的持有人亦表示他們對Optus致以「最深切的歉意」,並祝願公司一切順利。
而聯邦警方較早前表示,一直就問題監視暗網及互聯網的論壇,但當局暫時拒絕就有關的最新帖文發表評論。
Optus 公司則強調他們正盡一努力透明地處理有關問題。
事件的起因,緣於黑客一度在網上以「OptusData」的名稱發布有關訊資,指已將一萬則個人資資—包括駕照詳細信息、護照及住址—發到暗網,他們亦在聲明中威脅,除非能收到Optus交出的150 萬元「贖款」,否則,他們會每日發布一萬條新信息。
「Optus有四天時間考慮。」涉案黑客在聲明中作出威脅
涉事黑客亦記聲稱自已擁有超過 380 萬個「身份證件文件的號碼」、320 萬個駕駛執照號碼及 400 萬個用戶數據記錄。據報,遭公布的資料,亦可能涉及醫療保險號碼。
新西蘭網絡安全公司 Emsisoft 的員工 Brett Callow 在 Twitter 上亦轉載有關的贖金聲明。
前澳洲聯邦警察、網絡安全專家菲爾 (Nigel Phair)早前亦向七號台指,並若非黑客主動聯絡,其他用戶要知道自己是否成為受害者,或者要了解關於自己的數據是否已外洩「相當困難」。
「黑客已經發布了 10,000 條記錄,並表示他們將每天發布 10,000 條新記錄,直到他們收到贖金」
「若非用戶擅長查看暗網、並試圖尋找有關資料,否則您根本不知道自己的個人資訴是否已遭洩漏。」網絡安全專家菲爾
有網絡專家向天空新聞台證實,被外洩的數據為真實個人資訊,他在已外洩的一萬份資料中,至少已找出 3,500 個駕駛執照號碼、260 個奇怪的護照號碼、和大約 55 個醫療保險號碼,當中亦涉及出生日期、地址及電話號碼等關於個人身份的核心信息。
專家亦警告,獲得有關數據的人可以用有關身份申請任何信用戶口。但專家最擔心的是即使Optus願意交出贖款,但不代表黑客會如實刪除或回收資料。
據報,黑客亦已向個別潛在買家提出,可以用150,000 美元贖回自己的數據記錄,及以 200,000 美元贖回地址等資訊。
與此同時,電訊公司Optus 出現網絡安全漏洞後,聯邦政府表示將就問題進行改革。
事件導致多達2,800萬客戶的個人資料外洩,目前的澳洲法律並沒有「因涉及違規行為而可以向 Optus罰款」的條文。
網絡安全部長奧妮爾(Clare O’Neil)表示,客戶數據是以相當簡單的方式外洩,對於這間澳洲的大型電信公司而言,出現此問題是出乎意料之外。
Optus已表示,他們會聯繫受最嚴重影響的客戶,並為他們提供為期 12 個月的免費信用監控及身份保護服務。奧妮爾亦表示,政府亦正努力幫助保護受影響客戶。
「澳洲政府、澳洲競爭及消費者公署,以及澳洲審慎監管局正與銀行業界接觸,了解有哪些額外措施可以保護客戶。」
「這是一個複雜問題,在法律和技術上都很複雜,但我們正研究解決方案、亦將為MyGov等的政府網絡平台提供額外保護。我們亦希望 Optus 繼續盡力協助他們的現有及舊有客戶。」
