Enorm datalek is ‘wake-upcall’ voor Australië

Telecom Het grootste datalek ooit in Australië, bij telecombedrijf Optus, legt de gebrekkige privacywetgeving in het land bloot.

Dat de persoonsgegevens van bijna 10 miljoen Australiërs zo voor het oprapen lagen, zorgt voor een enorme reputatieschade voor telecombedrijf Optus. Foto Brent Lewin/Bloomberg
Dat de persoonsgegevens van bijna 10 miljoen Australiërs zo voor het oprapen lagen, zorgt voor een enorme reputatieschade voor telecombedrijf Optus. Foto Brent Lewin/Bloomberg

‘Het spijt ons diep’, stond in koeienletters in alle grote Australische kranten dit weekend. Afzender is telecombedrijf Optus, dat excuses aanbood voor een datalek waardoor de privacygevoelige informatie van 9,8 miljoen klanten op straat ligt. Het wordt het grootste datalek uit de Australische geschiedenis genoemd.

Het drama begon ruim een week geleden. Het op een na grootste telecombedrijf van Australië constateerde verdachte bewegingen op het netwerk en waarschuwde klanten dat gegevens zoals namen, geboortedata, adressen, e-mailadressen en telefoonnummers van bestaande en oude klanten gestolen waren. Bijna drie miljoen mensen zijn extra kwetsbaar voor identiteitsfraude omdat ook hun rijbewijs- en paspoortnummers zijn gelekt.

Enkele dagen later werden de gegevens van tienduizend klanten te koop aangeboden op het ‘dark web’. Een zelfverklaarde hacker eiste 1 miljoen Amerikaanse dollar losgeld. Niet lang daarna veranderde de hacker van gedachten en bood excuses aan. De gegevens werden weer verwijderd, maar het kwaad is geschied. De gegevens zijn gekopieerd en circuleren nog steeds op het web. Afgelopen vrijdag kondigde de Australische politie een speciale operatie aan om gedupeerden te beschermen. Ook de Amerikaanse inlichtingendienst FBI is erbij betrokken.

Gebrekkige informatie

Bijna 40 procent van de Australische bevolking is mogelijk slachtoffer van het datalek. Het zorgt voor een enorme chaos. Hulp is tot nu toe gebrekkig en ongecoördineerd, waardoor slachtoffers het gevoel hebben dat ze aan hun lot worden overgelaten. Ruim een week nadat het nieuws bekend werd, zijn nog lang niet alle gedupeerde klanten op de hoogte gesteld. „Ik heb in de krant moeten lezen dat er een datalek was. En ik heb nog steeds niets van Optus gehoord”, zegt Charo Devery (69). Ze is al dagen bezig om al haar wachtwoorden te veranderen en probeert haar rijbewijsnummer aan te passen.

Devery is ondernemer en noemt zichzelf ‘tech savvy’. Maar dat geldt niet voor alle gedupeerde klanten. „Ik heb vrienden die me in paniek bellen omdat ze niet weten wat ze moeten doen. Ik probeer ze te helpen, maar het is enorm tijdrovend”, zegt ze.

Er wordt veel gespeculeerd over hoe dit heeft kunnen gebeuren en wie erachter zit. Het bedrijf en de politie hebben vooralsnog niets bevestigd. Al gauw na de eerste berichten van het lek ging topvrouw Kelly Bayer Rosmarin door het stof en bood in een emotionele persconferentie haar excuses aan. „Dit was een geavanceerde aanval. Meer kan ik er niet over zeggen, behalve dat het ons enorm spijt”, zei ze.

Slecht beveiligd

Maar er zijn steeds meer aanwijzingen dat de gegevens slecht beveiligd waren. Het lijkt erop dat het bedrijf de digitale achterdeur wagenwijd open heeft laten staan. Het gaat vermoedelijk om een kwetsbare API (Application Programming Interface), dat wordt gebruikt om gegevens uit te wisselen en toegang gaf tot de gegevens van miljoenen Australiërs.

Claire O’Neil, minister voor cyberveiligheid, heeft hard uitgehaald naar het telecombedrijf. „Dit was geen geavanceerde aanval. Ik maak me grote zorgen dat een vrij eenvoudige hack mogelijk was bij een grote telecomprovider in ons land”, zei ze tegen de Australische publieke omroep ABC.

Cyberveiligheidsdeskundigen zijn het met haar eens. „Als de hacker de informatie kreeg via een onbeveiligde API, is de diefstal inderdaad heel eenvoudig geweest”, zegt Alastair MacGibbon van beveiligingsbedrijf CyberCX tegen de krant The Age. Het zou zelfs zo gemakkelijk zijn om de data op te vragen, dat de diefstal niet eens officieel als een hack gezien wordt.

Reputatieschade

Dat de gegevens kennelijk voor het oprapen lagen, zorgt voor enorme reputatieschade voor het telecombedrijf. Het helpt niet dat de eis om losgeld opvallend laag was en mogelijk wijst op een amateuristische hacker. Een miljoen Amerikaanse dollar is een van de laagste bedragen ooit geëist als het gaat om grootschalige datadiefstal. Op sociale media wordt gegrapt dat de hacker Dr. Evil is uit de film Austin Powers, die niet door heeft dat 1 miljoen dollar tegenwoordig niet veel geld is. Het is onduidelijk waarom de hacker van gedachten veranderde. Optus zegt geen losgeld te hebben betaald.

De storm aan kritiek richt zich niet alleen op het telecombedrijf, ook de gebrekkige privacywet- en regelgeving in Australië ligt onder de loep. De privacywetgeving stamt uit 1988. Boetes voor bedrijven die onzorgvuldig omgaan met de gegevens van klanten zijn erg laag. „De maximale boete die we kunnen opleggen voor het overtreden van onze privacywetgeving is 2,2 miljoen Australische dollar. Dat is een druppel in de oceaan voor een enorm bedrijf als Optus”, zei cyberveiligheidminister O’Neil.

Hogere boetes

Daarom vinden deskundigen dat Australië dezelfde regelgeving moet introduceren die al lang in Europa geldt. Jurist Tony Song van de University New South Wales pleit voor het invoeren van de ‘gouden standaard’ die de Europese Unie heeft voor de bescherming van gegevens. „De boetes moeten veel hoger zijn, niet alleen voor de criminelen die de gegevens stelen, maar juist ook voor bedrijven die onze data verzamelen”, zegt hij.

Minister O’Neil geeft toe dat de huidige wetgeving ontoereikend is. „We lopen waarschijnlijk een decennium achter”, zei ze tegen ABC. Ruim een jaar geleden is een nieuwe wet voor cyberveiligheid ingevoerd, maar deze geldt niet voor de telecombedrijven. Dat wil de minister veranderen. „Destijds zeiden de telecombedrijven dat zij zo goed waren in cyberveiligheid, dat we ons geen zorgen hoefden te maken. Dat is duidelijk niet het geval.”

Premier Anthony Albanese heeft zijn steun voor strengere regelgeving uitgesproken. „Dit is een enorme wake-upcall voor Australiërs”, zei Albanese. Hij wil dat Optus betaalt voor nieuwe paspoorten en rijbewijzen van gedupeerde klanten. Dat heeft het bedrijf inmiddels toegezegd.

Inmiddels beraden slachtoffers, zoals Charo Devery, zich op juridische stappen tegen het bedrijf. Daarnaast hoopt Devery dat de regering de belofte om burgers beter te beschermen waarmaakt. „Ze maken nu veel lawaai, want dat komt ze politiek goed uit. Ik moet nog zien of het ook echt iets verandert.”