Millionen Kundendaten abgegriffen: Australischer Netzbetreiber Optus am Pranger
Unbekannte haben Daten von über 10 Millionen Kunden des australischen Mobilfunkers abgezogen – wohl über eine offene API. Die Affäre wird nun zum Politikum.
Optus-Filiale in einem australischen Einkaufszentrum.
(Bild: Optus)
Nachdem bei einem Hack offenbar die persönlichen Daten von über 10 Millionen Kundinnen und Kunden abgegriffen wurden, gerät der australische Telekommunikationsanbieter Optus schwer unter Druck. Die australische Regierung wirft dem Unternehmen mangelhafte Sicherheitsvorkehrungen vor und fordert es auf, die Kunden zu entschädigen und Folgekosten zu tragen. Die Optus-Affäre dürfte zudem zu einer Verschärfung der Datenschutzgesetze führen.
Weil teils sensible Daten wie Ausweisnummern, Führerscheindaten und Krankenversicherungsnummern entwendet wurden, besteht die Gefahr des Identitätsdiebstahls. Zahlreiche betroffene Kunden werden neue Papiere benötigen. Für diese Kosten dürfe nicht der Steuerzahler geradestehen müssen, sondern Optus, betonte Premierminister Anthony Albanese (Labor-Partei) am Mittwoch im australischen Parlament.
Optus hatte am Donnerstag vergangener Woche erklärt, dass es nach einer "Cyberattacke" möglicherweise unberechtigte Zugriffe auf die Daten ehemaliger und bestehender Kunden gegeben habe. Der Angriff sei erkannt und sofort unterbunden worden, teilte das Unternehmen mit. Optus arbeite bei der Aufklärung mit den australischen Behörden zusammen. Auch das US-amerikanische FBI wurde hinzugezogen.
"optusdata" leakt und fordert Kryptogeld
Am Tag darauf veröffentlichte ein Unbekannter unter dem Pseudonym "optusdata" in einem bekannten Leak-Forum einen begrenzten Satz offenbar authentischer Kundendaten von Optus und behauptete, im Besitz der Daten von insgesamt 11,2 Millionen Kunden zu sein. Zugleich forderte "optusdata" die Zahlung von 1 Million US-Dollar, um die Daten zu löschen, sonst würden sie verkauft. Inzwischen wurde der Beitrag gelöscht.
(Bild: Screenshot)
"Wir wissen, dass persönliche Stammdaten von etwa 9,8 Millionen Australiern bei Optus gestohlen wurden", sagte die für Cybersicherheit zuständige Innenministerin Clare O'Neil im australischen Fernsehen. "Von 2,8 Millionen Australiern wurden ziemlich weitreichende persönliche Daten entnommen, die etwa die Nummern von Ausweisen oder Führerscheinen enthalten."
Inzwischen ist bekannt, dass es bei mehreren tausend Kunden zudem um die Krankenversicherungsnummer geht. Optus spricht von insgesamt 36.900 geleakten Versicherungsnummern, von denen jedoch 22.000 ungültig sein sollen. Das Unternehmen will die betroffenen Kundinnen und Kunden in Kürze informieren.
Optus betont, dass keine Passwörter oder Zahlungsinformationen abgegriffen worden seien. Wegen des erhöhten Risikos eines Identitätsdiebstahls will das Unternehmen seinen besonders schwer betroffenen Kunden und Kundinnen vorerst den Schutzservice des Anbieters Equifax Protect bezahlen.
Optus-CEO Kelly Bayer Rosmarin zeigte sich am Freitag zerknirscht, dass das Unternehmen den Datenklau nicht habe verhindern können und sprach von einem "ausgeklügelten Angriff". Die Cybersecurity-Ministerin wies dies zurück: "Was bei Optus passiert ist, war keine raffinierte Attacke", sagte O'Neil. Optus habe "im Prinzip das Fenster für diesen Datendiebstahl offen gelassen". Die Regierung prüft nun mögliche Konsequenzen.
Offene API?
Tatsächlich verdichten sich die Hinweise, dass "optusdata" die Kundendaten mit einem Skript über eine offene und ungesicherte API abgreifen konnte. Das hat der oder die Unbekannte gegenüber verschiedenen Medien erklärt. Auch andere anonyme Hinweise auf eine offene API gingen bei australischen Medien ein. Inzwischen ist die Schnittstelle nicht mehr erreichbar. Bestätigen will Optus das bisher nicht. Laut dem TV-Sender ABC hat ein Insider eingeräumt, dass die API für ein Testnetz geöffnet worden sei, das auch mit dem Internet verbunden war.
"Dieses Datenleck hätte nie passieren dürfen und die Regierung erwartet von Optus, dass es alles in seiner Macht stehende unternimmt, um seine Kunden zu unterstützen", sagte der Premierminister und kündigte eine Überprüfung der Datenschutzgesetze an. "Offensichtlich brauchen wir bessere Gesetze", sagte Albanese und warf der Opposition vor, während ihrer Regierungszeit in den vergangenen zehn Jahren nicht genug für den Datenschutz getan zu haben.
Optus ist Australiens zweitgrößter Telekommunikationsanbieter mit insgesamt 10 Millionen Mobilfunkkunden und 1,2 Millionen Festnetzkunden. Der Netzbetreiber ist eine hundertprozentige Tochter des singapurischen Singtel-Konzerns. Für das Geschäftsjahr 2021 wies das Unternehmen einen Umsatz von 7,8 Milliarden australischen Dollar (rund 5,2 Milliarden Euro) aus. Optus droht nun eine hohe Strafe wegen Datenschutzverstößen.
(vbr)
