Peu de temps après que la société de télécommunications australienne Optus a annoncé que les données d’identité de millions de clients avaient été volées, une personne prétendant être le pirate informatique a annoncé qu’elle supprimerait les données pour 1 million de dollars américains.
Quand Optus n’a pas payé, le prétendu pirate a publié 10 000 enregistrements volés et a menacé d’en libérer dix mille de plus chaque jour jusqu’à la date limite de la rançon. Ces dossiers divulgués contenaient des informations d’identité telles que les numéros de permis de conduire, de passeport et d’assurance-maladie, ainsi que coordonnées du parlement et de la défense.
Quelques heures après la chute des données, le pirate présumé s’est excusé de façon inattendue et a affirmé avoir supprimé les données en raison de « trop d’yeux », suggérant la peur d’être pris. Optus confirme qu’ils n’a pas payé la rançon.
Ils ont dit qu’ils avaient supprimé les données – et maintenant ? Est-ce fini?
La communication de la personne prétendant être le pirate informatique et la publication de 10 200 enregistrements se sont toutes produites sur un site Web dédié à l’achat et à la vente de données volées.
Les données qu’ils ont publiées sont maintenant facilement disponibles et semblent être des données légitimes volées à Optus (leur légitimité n’a pas été vérifiée par Optus ou la police fédérale australienne ; le FBI aux États-Unis a maintenant été appelé pour aider l’enquête).
La question est alors : pourquoi le pirate exprimerait-il des remords et prétendrait-il supprimer les données ?
Malheureusement, alors que le prétendu pirate informatique semblait posséder les données légitimes, il n’y a aucun moyen de vérifier la suppression. Nous devons nous demander : que gagnerait le pirate à prétendre les supprimer ?
Il reste probablement une copie, et il est même possible que la publication soit un stratagème pour convaincre les victimes de ne pas s’inquiéter pour leur sécurité – pour augmenter la probabilité d’attaques réussies utilisant les données. Il n’y a également aucune garantie que les données n’ont pas déjà été vendues à un tiers.
Et ensuite ?
Quelles que soient les motivations de la personne prétendant être le pirate informatique, ses actions suggèrent que nous devrions continuer à nous attendre à ce que tous les enregistrements volés à Optus restent entre des mains malveillantes.
Malgré les évolutions, les recommandations tiennent toujours – vous devriez toujours prendre des mesures proactives pour vous protéger. Ces actions sont de bonnes pratiques de cyber-hygiène quelles que soient les circonstances.
Une mesure supplémentaire offerte récemment est changer votre numéro de permis de conduire, commander un nouveau passeport et Carte d’assurance-maladie.
Cependant, il n’est pas clair à ce stade précoce si des options gratuites pour modifier ces documents seront proposées à toutes les victimes de violation de données, ou seulement à un sous-ensemble de victimes.
Puis-je savoir si mes données faisaient partie des 10 200 enregistrements divulgués ?
Rapports de personnes contactées par des escrocs suggèrent qu’ils sont déjà utilisés.
Troy Hunt, le professionnel australien de la cybersécurité qui maintient J’ai été pris – un site Web que vous pouvez utiliser pour vérifier si vos données font partie d’une violation connue – a annoncé qu’il le ferait ne pas ajouter les données divulguées au site à ce stade. Cette méthode ne sera donc pas disponible.
Le meilleur plan d’action dans ce cas est de supposer que vos données peuvent avoir été publiées jusqu’à ce que Optus informe les gens dans la semaine à venir.
Les données publiées sont-elles déjà utilisées ?
La méthode la moins sophistiquée sur le plan technique pour cibler les clients d’Optus consiste à utiliser les détails pour établir un contact direct et demander une rançon. Il y a des rapports de maîtres chanteurs ciblant déjà les victimes de violation par SMS, prétendant détenir les données et menaçant de les publier sur le dark web à moins que la victime ne paie.
Les données ont déjà fui et les affirmations concernant la suppression des données sont fausses. Payer quiconque fait ces réclamations n’augmentera pas la sécurité de vos informations.
Escroqueries de récupération de données – où les escrocs ciblent les victimes offrant de l’aide pour supprimer leurs données du dark web ou récupérer l’argent perdu moyennant des frais – sont également devenus incontournables. Au lieu d’aider, ils volent de l’argent ou obtiennent plus d’informations de la victime. Quiconque prétend pouvoir effacer les données du dark web prétend remettre du dentifrice dans le tube. Ce n’est pas possible.
Les données pourraient également être utilisées pour identifier les membres de la famille afin de faire le «Salut maman» ou arnaque à l’usurpation d’identité familiale plus convaincante. Cela implique des escrocs se faisant passer pour un membre de la famille ou un ami à partir d’un nouveau numéro de téléphone, utilisant souvent WhatsApp, ayant besoin d’une aide financière urgente. Toute personne recevant ce type de SMS doit s’efforcer de contacter un membre de sa famille ou un ami par d’autres moyens.
À quoi d’autre mes données peuvent-elles être utilisées ?
Les escroqueries liées à ces données ne feront que croître dans les jours et les semaines à venir et ne se limiteront peut-être pas au monde numérique.
D’autres utilisations possibles impliquent des activités telles que la tentative de prise de contrôle de comptes en ligne précieux ou de votre carte SIM, ou la mise en place de nouveaux services financiers et de nouvelles cartes SIM en votre nom. Les conseils que nous avons fournis dans notre précédent article s’applique à ceux-ci.
De plus, toute personne ayant des raisons d’être préoccupée par la sécurité physique si son emplacement est connu (par exemple, les victimes de violence domestique) doit envisager la possibilité que leurs noms, numéros de téléphone et adresse aient été divulgués ou le soient à l’avenir.
Si vous avez été victime de fraude ou d’usurpation d’identité suite à ce manquement ou à d’autres, vous pouvez contacter IDCare pour une aide supplémentaire et Cyber-rapport pour signaler le crime.