安全专家警告说,由于政府的强制披露法迫使更多的数据泄露事件公开,澳大利亚公司正在处理向公众传达网络攻击的方式。
EnergyAustralia 是一系列澳大利亚公司中的最新一家遭受数据泄露,其中最引人注目的是 Optus 和 Medibank Private,还有葡萄酒零售商 Vinomofo 和 Woolworths 的 MyDeal 网站。
这家燃气和电力公司承认使用计算能力猜测 MyAccount 密码的网络攻击客户门户在今年9月和10月曝光了323位客户的账户信息。
EnergyAustralia 表示在网络安全事件中访问了 323 个客户帐户,但没有其他系统被访问Credit:Paul Jones
EnergyAustralia 此后提示客户更新为 12 个字符的密码,其中包含大写和小写字母、数字和符号。网站 Security.org 估计,根据当前的计算能力,一台计算机需要 34,000 年才能破解如此复杂的密码。
以前,该公司需要八个字符的密码,包括大写字母和小写字母
在一份声明中,EnergyAustralia 首席客户官 Mark Brownfield 对网络攻击的消息会引起的担忧表示歉意,并强调数字很小的受影响客户已经得到联系。
“我们认识到,向所有客户过渡到更安全的密码并非易事,但是,这次事件和最近的其他网络事件表明这是我们需要的地方网络安全研究员兼 Internet 2.0 联合首席执行官罗伯特·波特表示,在“应通报的数据泄露”计划于 2018 年 2 月生效之前,公众“永远不会知道”像 EnergyAustralia 这样的小漏洞。
广告Potter 表示,EnergyAustralia 将“接受市场的全面审查”,因为最近发生了其他公司对数据泄露的沟通处理不当的案例。
周四,Medibank Private 承认黑客窃取了敏感的健康信息来自 100 万客户的信息,在最初强调没有证据表明敏感信息已被访问。
本月早些时候,Optus 成为澳大利亚历史上最大的数据泄露事件之一,涉及 980 万客户,激怒了阿尔巴尼亚政府。这家电信公司将其描述为一次复杂的攻击,但内政部长克莱尔奥尼尔和大多数网络安全专家对此表示异议。
Loading对澳大利亚企业的网络攻击浪潮已将该问题推向全国聚光灯,促使政府承诺进行紧急改革,可能会增加对侵犯隐私的罚款。
Potter 表示,公司应该从国际经验中吸取教训,花时间进行全面调查,然后再匆忙发表可能导致结果的声明t 是不准确的,并使用专门从事网络安全的危机沟通顾问。
“当这些事情出错时,压力就是出去说点什么,”他说。
“但随后 [CEO] 得到不完整的简报,他们 [发表声明],这成为他们在接下来的两周内必须捍卫的真相。
网络安全记者 Jeremy Kirk说传达坏消息总是很困难,尽管趋势是客户希望提高透明度,但“你几乎不会赢”。
“如果不这样做,所有公司都会犯错东西,”柯克说。 “成熟的公司有一套万一发生事故他们会怎么做的剧本。”
EnergyAustralia 的一位发言人表示,该公司没有与黑客接触,但在例行监控中发现了可疑活动并进一步调查。然后他们发现了一个机器人或自动化软件,通过门户访问猜测密码和访问帐户,这是一种相对常见且简单的攻击。</p>
发言人表示,该公司立即关闭了 MyAccount 门户以阻止更多攻击帐户被入侵,并且可以通过查看日志确切地看到已经访问了多少帐户。
客户登录门户时可用的信息包括姓名、地址以及电力或燃气使用情况。该公司表示没有其他 EnergyAustralia 系统受到影响。
英文原文
https://www.smh.com.au/technology/energyaustralia-struck-by-cyber-attack-attacking-weakness-in-password-rules-20221022-p5bryn.html
澳洲中文论坛热点
- 悉尼部份城铁将封闭一年,华人区受影响!只能乘巴士(组图)
- 据《逐日电讯报》报导,从明年年中开始,因为从Bankstown和Sydenham的城铁将因Metro South West革新名目而
- 联邦政客们具有多少房产?
- 据本月早些时分报导,绿党副首领、参议员Mehreen Faruqi已获准在Port Macquarie联系其房产并建造三栋投资联
