Hacker (iStock)
Roma, 29 settembre 2022 - Un furto di dati senza precedenti in Australia: durante un massiccio cyberattacco alla compagnia telefonica Optus sono stati rubati i dati di quasi 10 milioni di clienti - circa il 40% della popolazione del paese. Tuttavia, secondo quanto riportato dalla Bbc, l'evento è straordinario non solo per la grandezza della platea coinvolta, ma anche per le circostanze curiose che tirano in ballo un hacker misterioso, un riscatto (poi ritirato) da 1 milione di dollari, le scuse dell'autore dell'attacco, e persino l'Fbi.
L'attacco
Optus ha annunciato di aver subito un attacco hacker massiccio una settimana fa, il 22 settembre. Il gigante australiano della telecomunicazione ha quasi 10 milioni di clienti, e tutti sono coinvolti nella fuga di dati, sebbene in misure diverse. La compagnia telefonica ha dichiarato che si tratta di nomi, date di nascita, indirizzi di casa, numeri di telefono e indirizzi e-mail, nonché di dati ancora più sensibili come documenti identificativi: passaporti, patenti di guida, tessere sanitarie. Questi ultimi sono stati rubati a circa 2,8 milioni di utenti, e nel loro caso il rischio di furto d'identità o frode è "significativo", ha avvertito il governo australiano. Inizialmente la ceo di Optus, Kelly Bayer Rosmarin, ha detto che si trattava di "un attacco sofisticato", ma questa dichiarazione è stata smentita da diverse fonti esperte - tra cui anche il presunto hacker.
Il riscatto e le scuse dell'hacker
Sabato, due giorni dopo l'annuncio e tre giorni dopo l'attacco, un utente dal nickname 'Optusdata' ha pubblicato un campione di dati di circa 100 clienti su un forum online, e ha chiesto un riscatto di 1 milione di dollari per restituirli. Secondo diversi esperti, il campione sembra autentico, nonostante l'indagine ufficiale sia ancora in corso. L''offerta' sarebbe scaduta dopo una settimana, poi i dati sarebbero stati venduti a terzi: ma martedì l'hacker ha cambiato idea, e ha pubblicato un ulteriore campione, questa volta di 10.000 clienti, spostando anche la scadenza del pagamento del riscatto.
Tutto ciò non sarebbe ancora troppo strano. Ma solo qualche ora dopo, Optusdata ha chiesto scusa dicendo di aver postato tutto "per sbaglio", e ha cancellato tutti i dati pubblicati. "Porgo le mie più sentite scuse a Optus. Spero che da adesso andrà tutto bene". Il messaggio insolito ha sollevato un po' di dubbi. Gli esperti di cybersicurezza - riferisce il quotidiano The Australian - hanno espresso scetticismo sul suo dichiarato arretramento, e alcuni suggeriscono che la casa madre Singtel abbia silenziosamente pagato il riscatto senza rivelarlo alla sussidiaria australiana.
Tuttavia, a questo punto non è così facile tornare indietro. Una volta che qualcosa viene pubblicato su internet, rimarrà per sempre in circolazione. Diversi utenti hanno scaricato il campione diffuso online e lo hanno pubblicato di nuovo. Il danno ormai è fatto.
L'Operazione Uragano
La vicenda ha raggiunto i livelli più alti della politica australiana, e ha creato un acceso dibattito pubblico - conseguenza presumibilmente inaspettata dall'hacker, che forse ha ritirato il riscatto perché si era spaventato. La pubblica amministrazione ha istituito un numero verde per le vittime della fuga di dati e ha pubblicato un vademecum per proteggersi il più possibile dalle conseguenze. Le indagini della polizia federale australiana sono in corso per identificare l'autore dell'attacco, e sembrano estendersi sempre di più - al punto che ormai è coinvolto anche l'Fbi. Poi è un caso abbastanza ironico che l'operazione si chiama Operazione Uragano (Operation Hurricane), proprio nei giorni in cui l'uragano Ian ha colpito gli Stati Uniti. Il governo federale intanto sta lavorando su riforme urgenti in questo ambito. La ministra degli Affari Interni Clare O'Neil ha criticato aspramente Optus per aver mancato di bloccare un hackeraggio che ha definito 'basic', o elementare, indicando che i dati degli utenti erano stati lasciati largamente non protetti. "Non dovremmo avere un provider di telecomunicazioni in questo paese che ha di fatto lasciato la finestra aperta permettendo un furto di dati di questa natura", ha dichiarato. Intanto lo studio legale Slater and Gordon, specializzato in class action, sta considerando un'azione legale contro Optus, per conto di utenti correnti e precedenti, che asserisce violazioni alle norme sulla privacy e ai contratti di servizio.