Ofiara włamania do MediaWorks jest „zszokowana” i zaniepokojona danymi osobowymi

Jedna z ofiar włamania do MediaWorks twierdzi, że boi się tego, co haker może zrobić z jej informacjami.

W wyniku cyberataku hakerzy przejęli dane ponad 400 000 osób Żądanie okupu za pobranie skradzionych danych.

W piątek MediaWorks poinformowało zainteresowane osoby, że atakujący umieścił ich informacje w Internecie. Jedną z nich była Rebecca, mieszkanka Waikato.

„Dopóki nie otrzymałem e-maila, w ogóle nie wiedziałem o cyberataku [from MediaWorks] Dziś rano, około 5.30. Byłam w takim szoku, że mnie to zaskoczyło. Gdy tylko ją otworzyłem i zacząłem czytać, zdałem sobie sprawę z powagi sprawy”.

Powiedziała, że ​​wiadomość ta wzbudziła poważne obawy co do tego, co może się wydarzyć dalej.

„Gdyby użyli mojego adresu e-mail i mogliby zebrać moją datę urodzenia i wszystkie inne rzeczy, do czego mieliby dostęp?

„Czy mają dostęp do wszystkich moich e-maili? Czy mają dostęp do moich kont w mediach społecznościowych? Czy mogą pójść dalej? Ponieważ tak mnie to zaskoczyło, że nie jestem pewien i nawet nie wiem, co z tym zrobić. „

Rebecca stwierdziła, że ​​e-mail od MediaWorks nie był zbyt uspokajający i firma powinna zrobić więcej, aby wesprzeć ofiary naruszenia.

„[The email] Mówiąc bardzo ogólnie: „Mają całą naszą bazę danych”. Zasadniczo „powodzenia, oto kilka wskazówek, broń się”.

„Myślę, że to podejście było trochę błędne. Po prostu wysłali do wszystkich tego ogólnego e-maila i powiedzieli: «Oto kilka linków, w które możesz kliknąć».”

Inna osoba, której to dotyczyło, mieszkaniec Auckland, którego RNZ zgodził się zachować anonimowość, twierdziła, że ​​w zeszłym tygodniu skontaktowali się z nim hakerzy.

„14 marca otrzymałem e-mail od hakerów z informacją, że MediaWorks niechętnie odpowiadało hakerom i dlatego zaoferowali mi możliwość zapłacenia 500 USD w Bitcoinach za usunięcie moich danych w zamian za potencjalną sprzedaż lub wydanie .”

Powiedział, że osoby udostępniające swoje informacje w Internecie zależą od bezpieczeństwa zapewnianego przez osoby gromadzące dane.

„Jesteśmy w rękach osób otrzymujących te dane, jeśli chcemy je udostępnić [in any competitions] Musimy udostępnić dane, dlatego całkowicie polegamy na osobach je otrzymujących, aby zapewnić ich bezpieczeństwo. [It is] sfrustrowany.”

„Bardzo zła umowa” – ekspert ds. cyberbezpieczeństwa

Kiedy w zeszłym tygodniu wykryto cyberatak, sądzono, że dotknął on aż 2,5 miliona osób.

Jednak później firma MediaWorks podała, że ​​blisko 403 000 osób zostało dotkniętych nieokreśloną luką w systemie.

Haker pozyskał informacje z bazy konkursów internetowych z 2016 roku, obejmujące imiona i nazwiska, daty urodzenia, adresy i numery telefonów. Możliwe jest również, że zdjęcia lub filmy zostaną skradzione.

Craig Rowland, założyciel Sandfly Security, powiedział, że przechowywanie danych osobowych przez długi czas zwiększa podatność firm na ataki.

„Jak widzimy tutaj, [companies] Przechowuj te dane przez bardzo długi czas, nawet długo po wykonaniu tej czynności. „Ponieważ te dane pozostają w pamięci przez długi czas, stają się coraz cenniejsze… i istnieje większe prawdopodobieństwo, że zostaną skradzione”.

Roland stwierdził, że wiele zebranych informacji jest niepotrzebnych.

„Dlaczego mielibyśmy podawać czyjąś konkretną datę urodzenia, dlaczego nie po prostu określić przedział wiekowy? Dlaczego mielibyśmy zbierać adres fizyczny? Dlaczego nie moglibyśmy po prostu podać kodu pocztowego?”

„Myślę, że istnieją lepsze sposoby na zapewnienie bardziej niejednoznaczności danych”.

Powiedział, że brak przepisów dotyczących tego, jak długo firmy mogą przechowywać dane osobowe klientów, naraża ludzi na ryzyko.

„W zasadzie nie ma daty ważności [the data stored]. I tak nie jest [just MediaWorks]Są to agencje rządowe, banki i inne osoby [that] Zrób to też.

„Powinny zostać nałożone ograniczenia czasowe na to, jak długo firmy, a nawet rządy mogą przechowywać te dane, i powinny być zmuszone do ich wyrzucenia po pewnym czasie”.

Ogromna odpowiedzialność

Skradzione dane mogą zostać wykorzystane z wielu powodów, w tym do otwarcia wielu kont telefonicznych pod nazwiskiem ofiary.

„Potem istnieją inne grupy, zwane brokerami dostępu, [who] „Możesz próbować wykorzystać informacje dostępowe swoich klientów, aby uzyskać dostęp do sieci innych firm, w których możesz mieć konta” – powiedział Rowland.

Po kradzieży nikt nie mógł zrobić nic, aby chronić ujawnione informacje.

„Zdecydowanie zachęcam ludzi do ustawiania unikalnych haseł do wszystkich kont, zwłaszcza jeśli Twoja poczta e-mail jest obecnie szeroko rozpowszechniona”.

W razie wątpliwości ludzie nie powinni odpowiadać na e-maile potencjalnych hakerów, powiedział.

„Nie ma mowy, żeby to usunęli [your information]. Te dane są już publikowane, kopiowane w całym Internecie i nie ma możliwości, aby jedna osoba mogła je usunąć, trzeba tylko zaakceptować, że tam są.

„To oszustwo… Musisz sprawdzić ich blef.”

Rowland stwierdził, że w obliczu rosnącej liczby cyberataków kraj powinien zbadać, w jaki sposób przechowywane są gromadzone dane osobowe.

„Nie sądzę, że Nowa Zelandia zbudowała jeszcze taką infrastrukturę, ale prawdopodobnie będzie dokładniej sprawdzać pochodzenie ludzi.

„Podejrzewam [companies] Musisz naprawdę zacząć zadawać pytania dotyczące tego, dlaczego i jakie dane klientów są pobierane [they are] „Zrobię to, jeśli zostanie skradziony”.

Usuwanie luk w zabezpieczeniach — MediaWorks

Wszystkie systemy informatyczne firmy są poddawane przeglądowi, powiedziała w oświadczeniu dyrektor generalna MediaWorks, Wendy Palmer.

„MediaWorks, przy wsparciu ekspertów zewnętrznych, dokonuje obecnie przeglądu wszystkich pozostałych systemów informatycznych i zabezpieczeń cyberbezpieczeństwa, aby zidentyfikować i złagodzić wszelkie inne potencjalne luki w zabezpieczeniach”.

Stwierdzono, że firma zamknęła bazę danych, której dotyczyła luka, przeniosła wszystkie istniejące wpisy konkursowe do nowej bazy danych i zatrudniła zewnętrznych ekspertów w celu usunięcia luk w zabezpieczeniach.

„Zgodnie z wytycznymi rządu Nowej Zelandii firma MediaWorks nie nawiązała kontaktu z napastnikiem”.

Ballmer przeprosił za incydent, mówiąc, że firma poważnie podchodzi do bezpieczeństwa danych i ciężko pracuje, aby to się więcej nie powtórzyło.