Le géant australien des télécoms Optus fait face à deux enquêtes supplémentaires concernant la violation majeure de données (s’ouvre dans un nouvel onglet) qui s’est produit le mois dernier. Selon les résultats de l’enquête, l’entreprise pourrait être contrainte de payer plus de 4 millions de dollars de dommages et intérêts.
Tel que rapporté par Le gardien (s’ouvre dans un nouvel onglet)l’Autorité australienne des communications et des médias (ACMA) et le Bureau du Commissaire australien à l’information (OAIC) ont annoncé qu’ils lanceraient des enquêtes « séparées mais coordonnées ».
L’ACMA examinera si Optus s’est conformé ou non aux règles et réglementations de gestion des données sensibles, tandis que l’OAIC souhaite enquêter sur les mesures prises par Optus pour protéger les données des clients. Chaque enquête, a ajouté la publication, pourrait entraîner une amende pouvant aller jusqu’à 2,2 millions de dollars, mais cela pourrait prendre « un certain temps » avant qu’une conclusion ne soit tirée.
Coopération avec les régulateurs
Optus s’est engagé à travailler avec les régulateurs sur cette question, tandis que la présidente de l’ACMA, Nerida O’Loughlin, a souligné l’importance de la confiance : « Lorsque les clients confient leurs informations personnelles à leur fournisseur de télécommunications, ils s’attendent à juste titre à ce que les informations soient correctement protégées. Ne pas le faire a des conséquences importantes pour toutes les personnes impliquées », a-t-elle déclaré.
Outre les deux nouvelles enquêtes, Deloitte mène également un examen externe, tandis que la police fédérale australienne cherche à savoir qui a volé et tente de vendre les données sensibles.
Il y a trois semaines, Optus a confirmé que les données des clients actuels et anciens avaient été consultées. Les acteurs de la menace ont réussi à obtenir l’identité du client (s’ouvre dans un nouvel onglet) données, y compris les noms, dates de naissance, numéros de téléphone, ainsi que les adresses e-mail, de millions de personnes. Certains clients ont également eu des adresses physiques, des numéros de documents d’identité tels que des permis de conduire ou des numéros de passeport exposés.
Optus n’a pas indiqué qui était derrière l’attaque, quels étaient les motifs de l’acteur menaçant, ni comment les systèmes ont fini par être compromis (par exemple, avec du phishing ou des logiciels malveillants). Il a dit qu’il avait réussi à stopper immédiatement l’attaque.
Il a également refusé de dire combien de clients auraient pu être touchés par la violation, mais compte tenu de sa base d’utilisateurs, le nombre pourrait atteindre environ 10 millions de personnes.