El Comisionado de Información de Australia (AIC) ha lanzado una acción civil contra Optus por una violación de datos de 2022 que expuso los detalles personales de 9.5 millones de australianos. La demanda alega que la firma de telecomunicaciones Optus no pudo tomar medidas razonables para proteger la información personal de las víctimas del acceso y la divulgación no autorizados, en incumplimiento de la Ley de Privacidad de Australia de 1988. Después de una investigación, la AIC concluyó que las prácticas de seguridad de Optus no eran encomendados con la naturaleza y el volumen de información personal de la información de teleconómetros. El Comisionado de Privacidad de Australia, Carly Kind, comentó: «La violación de datos de Optus destaca algunos de los riesgos asociados con sitios web y dominios de orientación externa, particularmente cuando estos interactúan con bases de datos internas que tienen información personal, así como los riesgos alrededor del uso de proveedores de terceros». Ella continuó: «Todas las organizaciones que tienen información personal deben asegurarse de que tengan fuertes prácticas de gobierno y seguridad de datos. Estos deben ser minuciosos e integrados, para proteger contra las vulnerabilidades de que los actores de amenaza estarán listos para explotar». La AIC ha solicitado al Tribunal Federal que imponga una orden de sanción civil contra Optus, alegando una contravención de la Ley de Privacidad para cada una de las 9.5 millones de víctimas. El tribunal tiene el poder de imponer hasta $ 2.22 millones por cada contravención, lo que significa que Optus podría enfrentar una enorme sanción financiera. En diciembre de 2022, la multa civil máxima que se puede imponer se incrementó a $ 50 millones por contravención. However, this will not apply in this case as the alleged contraventions occurred from 17 October 2019 to 20 September 2022. “Whether a civil penalty order is made, and the amount, are matters before the court,” the AIC noted in a release dated August 8. Read now: Australian Regulator Alleges Financial Firm Exposed Clients to Unacceptable Cyber Risks Optus’ Mass Data Breach in the Spotlight Sydney headquartered Optus disclosed it had been Hecho por un ciberataque en septiembre de 2022, revelando que se pueden acceder a casi 10 millones de datos de clientes actuales y anteriores. Se supo que estos datos incluían información confidencial de identificación personal, que incluye: nombres, fechas de nacimiento, direcciones de viviendas, números de teléfono y direcciones de correo electrónico identificadores relacionados con el gobierno, incluidos los números de pasaporte, los números de licencia del conductor, los números de las tarjetas de Medicare, la información de los certificados de nacimiento, la información de los certificados de matrimonio y las fuerzas armadas, la fuerza de defensa e información de identificación policial dijeron que dijo que fue capaz de evitar que los piratas de los certificadores de los clientes de los clientes de los clientes de la cuenta y las contraseñas de cuentas. Según los informes, los atacantes emitieron Optus una demanda de rescate para evitar que los datos se vendan en línea. Sin embargo, poco después, un pirata informático que reclama la responsabilidad del truco parecía eliminar una base de datos que contiene parte de la información robada sobre incumplimiento, disculpándose con los 10,000 australianos cuyos datos se habían filtrado. Según los informes, los atacantes explotaron una API mal configurada para acceder al conjunto de datos sin requerir ninguna autenticación. Respuesta de Optus a la demanda en un comunicado, Optus dijo que está revisando las reclamaciones de AIC. «Optus se disculpa nuevamente con nuestros clientes y la comunidad en general que ocurrió el ataque cibernético 2022. Nos esforzamos todos los días para proteger la información de nuestros clientes y hemos estado trabajando duro para minimizar cualquier impacto que el ataque cibernético pueda haber tenido», declaró la compañía. Agregó: «Continuamos reconociendo que a medida que evolucione el entorno de amenaza cibernética, la seguridad de nuestros clientes y su información personal nunca ha sido más importante. Continuaremos invirtiendo en la seguridad de la información de nuestros clientes, nuestros sistemas y nuestras capacidades de defensa cibernética». Crédito de la imagen: T. Schneider / Shutterstock.com El Comisionado de Información de Australia (AIC) ha lanzado una acción civil contra Optus por una violación de datos de 2022 que expuso los datos personales de 9.5 millones de australianos. La demanda alega que la firma de telecomunicaciones Optus no pudo tomar medidas razonables para proteger la información personal de las víctimas del acceso y la divulgación no autorizados, en incumplimiento de la Ley de Privacidad de Australia de 1988. Después de una investigación, la AIC concluyó que las prácticas de seguridad de Optus no eran encomendados con la naturaleza y el volumen de información personal de la información de teleconómetros. El Comisionado de Privacidad de Australia, Carly Kind, comentó: «La violación de datos de Optus destaca algunos de los riesgos asociados con sitios web y dominios de orientación externa, particularmente cuando estos interactúan con bases de datos internas que tienen información personal, así como los riesgos alrededor del uso de proveedores de terceros». Ella continuó: «Todas las organizaciones que tienen información personal deben asegurarse de que tengan fuertes prácticas de gobierno y seguridad de datos. Estos deben ser minuciosos e integrados, para proteger contra las vulnerabilidades de que los actores de amenaza estarán listos para explotar». La AIC ha solicitado al Tribunal Federal que imponga una orden de sanción civil contra Optus, alegando una contravención de la Ley de Privacidad para cada una de las 9.5 millones de víctimas. El tribunal tiene el poder de imponer hasta $ 2.22 millones por cada contravención, lo que significa que Optus podría enfrentar una enorme sanción financiera. En diciembre de 2022, la multa civil máxima que se puede imponer se incrementó a $ 50 millones por contravención. However, this will not apply in this case as the alleged contraventions occurred from 17 October 2019 to 20 September 2022. “Whether a civil penalty order is made, and the amount, are matters before the court,” the AIC noted in a release dated August 8. Read now: Australian Regulator Alleges Financial Firm Exposed Clients to Unacceptable Cyber Risks Optus’ Mass Data Breach in the Spotlight Sydney headquartered Optus disclosed it had been Hecho por un ciberataque en septiembre de 2022, revelando que se pueden acceder a casi 10 millones de datos de clientes actuales y anteriores. Se supo que estos datos incluían información confidencial de identificación personal, que incluye: nombres, fechas de nacimiento, direcciones de viviendas, números de teléfono y direcciones de correo electrónico identificadores relacionados con el gobierno, incluidos los números de pasaporte, los números de licencia del conductor, los números de las tarjetas de Medicare, la información de los certificados de nacimiento, la información de los certificados de matrimonio y las fuerzas armadas, la fuerza de defensa e información de identificación policial dijeron que dijo que fue capaz de evitar que los piratas de los certificadores de los clientes de los clientes de los clientes de la cuenta y las contraseñas de cuentas. Según los informes, los atacantes emitieron Optus una demanda de rescate para evitar que los datos se vendan en línea. Sin embargo, poco después, un pirata informático que reclama la responsabilidad del truco parecía eliminar una base de datos que contiene parte de la información robada sobre incumplimiento, disculpándose con los 10,000 australianos cuyos datos se habían filtrado. Según los informes, los atacantes explotaron una API mal configurada para acceder al conjunto de datos sin requerir ninguna autenticación.