CANBERRA, Australie (AP) – Une enquête policière sur une cyberattaque contre une entreprise de télécommunications australienne dans laquelle les données personnelles de plus d’un tiers de la population australienne ont été volées a abouti à sa première arrestation, ont annoncé jeudi les enquêteurs.
La police a lancé l’opération Hurricane en coopération avec le Federal Bureau Investigation des États-Unis après qu’Optus, le deuxième opérateur de téléphonie mobile d’Australie, ait perdu les dossiers personnels de 9,8 millions de clients actuels et anciens le 21 septembre.
Le pirate a jeté les dossiers de 10 000 de ces clients sur le dark web la semaine dernière dans le cadre d’une tentative d’extorquer 1 million de dollars à Optus, une filiale de Singapore Telecommunications Ltd., également connue sous le nom de Singtel.
Un homme de Sydney âgé de 19 ans a été arrêté jeudi et accusé d’avoir utilisé les données sous-évaluées dans une escroquerie par chantage par SMS, a indiqué la police dans un communiqué.
L’homme, qui n’a pas été identifié publiquement, n’a pas encore comparu devant le tribunal pour deux chefs d’accusation passibles de peines de prison allant jusqu’à 10 et 7 ans.
La police allègue qu’il a envoyé des SMS à 93 clients d’Optus exigeant que 2 000 dollars australiens (1 300 $) soient déposés sur un compte bancaire, sinon les données seraient utilisées dans un crime financier. Aucune des cibles n’a payé.
L’une des cibles de l’extorsion, identifiée uniquement comme Belinda et décrite comme la mère d’un enfant de 5 ans atteint d’un cancer, a déclaré à Nine Network News la semaine dernière : « Pour être honnête, ce n’est tout simplement pas ce dont nous avons besoin. »
« Je suppose qu’ils essaient juste de faire pression sur les gens pour qu’ils paient », a-t-elle déclaré à Nine.
La commissaire adjointe de la police fédérale australienne, Justine Gough, a déclaré que l’enquête se poursuivait.
« L’enquête sur l’ouragan est une priorité pour l’AFP et nous poursuivons activement toutes les pistes d’enquête pour identifier les responsables de l’attaque », a déclaré Gough.
« Ce n’est pas parce qu’il y a eu une arrestation qu’il n’y aura plus d’arrestations », a-t-elle ajouté.
Le gouvernement australien a annoncé des modifications à sa loi sur les télécommunications afin de protéger les clients Optus vulnérables.
Les modifications apportées à la réglementation sur les télécommunications permettent à Optus et à d’autres fournisseurs de mieux se coordonner avec les institutions financières et les gouvernements pour détecter et atténuer le risque d’incidents de cybersécurité, de fraude, d’escroqueries et d’autres cyberactivités malveillantes, selon un communiqué du gouvernement.
Optus a publié samedi des annonces d’une page entière dans les journaux australiens sous le titre « Nous sommes profondément désolés ».
L’annonce comprenait un lien vers un site Web d’Optus qui détaille les mesures que les clients peuvent prendre pour éviter le vol d’identité et la fraude.
Le gouvernement peut modifier les règlements sans l’approbation législative. Mais le gouvernement espère adopter des modifications à la loi sur la protection des renseignements personnels au Parlement au cours des quatre dernières semaines de sa session de 2022 en réponse à la violation d’Optus.
Les changements comprendraient des sanctions accrues pour les entreprises dont les protections de cybersécurité sont laxistes et des restrictions sur les quantités et les types de données clients que les entreprises peuvent amasser, ainsi que sur la durée pendant laquelle les informations personnelles peuvent être conservées.