Đã gần hai tuần sau khi vụ rò rỉ dữ liệu khách hàng Optus bị tiết lộ, 10 triệu người Úc, tức gần 40% dân số Úc đang cố gắng làm hết khả năng có thể để giảm bớt nguy cơ bị đánh cắp các thông tin nhận dạng cá nhân.
Văn phòng Scamwatch thuộc Uỷ ban Người Tiêu dùng và Cạnh tranh Úc đã tung ra một danh sách các loại tin nhắn lừa đảo liên quan đến vụ việc đã được lan truyền.
Cơ quan này cảnh báo mọi người không được nhấn vào các đường dẫn trong các tin nhắn lừa đảo, có thể gởi đến thông qua gọi điện thoại, tin nhắn hay mạng xã hội.
Cơ quan đưa ra ví dụ về một tin nhắn lừa đảo giả mạo tiêu biểu sẽ cho biết chúng đến từ Optus, và khách hàng được chúng liên lạc để làm lại thẻ SIM điện thoại sau vụ tấn công. Lời khuyên của Scamwatch là quý vị nên xoá ngay những tin nhắn đó. Optus sẽ không bao giờ muốn quý vị đổi thẻ SIM điện thoại cả.
Phó Giáo sư An ninh mạng thuộc trường đại học Monash Carsten Rudolph nói cú lừa nói trên rất đáng lo lắng bởi vì nó chứng minh trong thời gian tới sẽ có thêm nhiều nguy cơ an ninh nữa, gia tăng từ quá trình khách hàng cần chứng minh nhận dạng cá nhân bằng nhiều yếu tố.
Thay đổi từ việc chỉ dùng một mật khẩu đến sự nhận dạng đa yếu tố là hoàn toàn tốt - bởi vì nó khiến quá trình kẻ xấu xâm nhập email hay tài khoản ngân hàng của bạn càng khó khăn hơn, vì kẻ xấu cần phải chứng minh thêm yếu tố thứ hai. Trong đa số trường hợp, yếu tố nhận dạng thứ hai chỉ đơn giản là một tin nhắn gởi đến điện thoại của bạn. Vậy thì ở những chợ đen nơi mà ai đó có thể chuyển số điện thoại sang cho kẻ xấu sở hữu, thì chúng có thể có được yếu tố nhận dạng thứ hai.
Ông đề nghị mọi người chỉ nên dùng các biện pháp bảo vệ thêm nữa, chẳng hạn phần mềm nhận dạng xác thực - authenticator app.
Phó Giáo sư Toby Murray đến từ trường Máy tính và Hệ thống Thông tin thuộc đại học Melbourne nói ông đã bị ảnh hưởng vì là khách hàng của Optus.
Sau khi nghe nói mọi người đang cố gắng tìm hiểu quá trình đổi các giấy tờ nhận dạng cá nhân đã bị lấy cắp, ông đã viết các bài blog kể về kinh nghiệm của mình.
Lời khuyên từ Services Australia vào lúc này, về việc mọi người muốn đổi thẻ Medicare để nhận được thẻ Medicare mới. Tuy nhiên chỉ một con số thay đổi trên thẻ mới thì vẫn hoàn toàn có thể đoán được, nếu bạn đã biết số thẻ cũ, và vì vậy cũng không an toàn hơn bao nhiêu nếu bạn xài thẻ Medicare mới. Và tôi có thể tưởng tượng đối với nhiều người, khi mà họ đang cố gắng tìm kiếm cách giải quyết từ rất nhiều nguồn thông tin, thậm chí còn mâu thuẫn nhau, để biết chính xác mình nên làm gì, thì còn khó khăn hơn bản thân cái việc họ cần làm để giữ an toàn.
Trang mạng của Scamwatch khuyên khách hàng bị ảnh hưởng hãy làm theo từng bước trong đó bao gồm hai việc trước tiên là thay đổi bảo mật của tài khoản ngân hàng và liên lạc với quỹ hưu trí của bạn.
Tiến sĩ Murray nói ông đã hành động nhanh chóng nhằm bảo vệ các tài khoản tài chính của mình và ông thúc giục những khách hàng bị ảnh hưởng hãy làm việc đó ngay.
Việc đầu tiên tôi làm là gọi điện thoại đến ngân hàng yêu cầu họ đặt thêm các biện pháp xác nhận danh tính vào tài khoản của tôi, để nếu có kẻ xấu tìm đến ngân hàng giả mạo họ là tôi, sử dụng thông tin định danh của tôi, thì họ sẽ phải gặp nhiều khó khăn hơn mới chứng minh được họ chính là tôi. Tôi cũng sẽ đề nghị mọi người làm chuyện tương tự với nhà cung cấp dịch vụ viễn thông để kẻ xấu gặp khó khăn hơn nếu muốn chiếm đoạt số điện thoại của bạn.
Đây chính là biện pháp phổ biến mà các trò lừa đảo ngày nay thường sử dụng. Tôi cũng sẽ đề nghị mọi người hãy cân nhắc sử dụng dịch vụ cấm mở thẻ tín dụng credit, dịch vụ này cho phép ngăn ngừa bất kỳ kẻ nào nộp hồ sơ mở thẻ tín dụng đứng tên bạn trong vòng 21 ngày. Và sau đó dịch vụ có thể được gia hạn khi thời gian 21 ngày đã hết nếu cần thiết. Một việc nữa là bạn có thể cần mua thêm dịch vụ giám sát thẻ credit thường xuyên, giá mua dịch vụ này không đắt, khoảng tương đương với giá đăng ký xem phim trên Netflix.
Chính phủ nói sẽ đợi một tuần, kể từ thứ ba ngày 27/9, cho Optus gởi chính phủ chi tiết của 36 ngàn khách hàng có số thẻ Medicare và thẻ concession bị rò rỉ.
Services Australia là cơ quan hỗ trợ dịch vụ lãnh trợ cấp muốn thắt chặt thêm mức độ bảo mật cho các khách hàng được biết đã bị ảnh hưởng.
Tiết lộ này cho thấy quy mô của vụ xâm nhập dữ liệu lớn hơn so với xác nhận ban đầu của Optus, khi danh sách dữ liệu bị lộ bao gồm: họ tên, ngày sinh, email, số điện thoại, địa chỉ liên quan đến tài khoản cũ của bạn với Optus và các số liệu nhận dạng cá nhân được cung cấp chẳng hạn như số bằng lái xe hoặc số hộ chiếu.
Chủ tịch Quỹ Quyền Riêng tư Úc, David Vaile, đã tham gia với tư cách là chuyên gia luật và chính sách các trang mạng. Ông là một trong số năm chuyên gia xem xét kế hoạch Tu chính Luật nhằm tăng cường bảo vệ các cá nhân về quyền riêng tư - và cho phép họ có quyền khởi kiện trong những vụ vi phạm lớn.
Ông nói một hành động như vậy cho phép nguy cơ bị lấy cắp danh tính được xem xét trong môi trường pháp lý và kinh doanh, thay vì chỉ giải quyết giữa các cá nhân với nhau.
Họ chưa bao giờ làm theo những gì được khuyến cáo trong suốt ba bốn chục năm qua, nhằm trao cho cá nhân mỗi người Úc, cũng giống như người dân ở mọi quốc gia phát triển khác, quyền được tự khởi kiện vì có kẻ vi phạm sự riêng tư, nếu có kẻ xấu và vi phạm xảy ra. Ở Úc, về căn bản, chúng ta luôn có phần kỳ quặc hơn so với các nước có sự phát triển tương đương. Nếu có vấn đề gì xảy ra, tất cả những gì bạn có thể làm chỉ có thể là khiếu nại lên Ủy viên Quyền riêng tư. Mà thật sự chúng ta cũng không có một Ủy viên chuyên trách về Quyền Riêng tư nữa. Chúng ta chỉ có thể khiếu nại với Văn phòng Ủy viên Thông tin Úc. Đây là điều mà chúng tôi đang cố gắng loại bỏ, vì chúng vừa bị thiếu hụt tài trợ và thiếu nhân sự nữa. Và việc của họ không phải là nhận lời khiếu nại của bạn. Quyết định của họ cũng không có giá trị ràng buộc, giống như quyết định của tòa án. Vì vậy, đó là một tình huống hoàn toàn không đủ hiệu lực.
Tình trạng lấy cắp danh tính chỉ gia tăng trong những năm gần đây, mà trang mạng MyGov của chính phủ liên bang từng bị tấn công vào năm 2020.
Hơn 3.600 tài khoản MyGov đã được đưa lên thị trường chợ đen để bán thông tin.
Các tài khoản MyGov được liên kết với các dịch vụ thiết yếu của chính phủ bao gồm Thuế vụ, Centrelink, Medicare, Chương trình Bảo hiểm Khuyết tật Quốc gia NDIS và Hồ sơ Sức khỏe.
Bộ trưởng Nội vụ, Clare O’Neil, nói bà đang xem xét các đạo luật an ninh mạng mới, bao gồm tăng thêm các hình phạt theo Luật Quyền riêng tư hiện đang bị giới hạn ở mức tối đa 2,2 triệu đô la.
Liên minh Âu châu có quy định nghiêm ngặt nhất về bảo vệ dữ liệu - Quy định chung về bảo vệ dữ liệu - với mức phạt tối đa 20 triệu Euro hoặc 4% doanh thu hàng năm của công ty trên toàn thế giới nếu vi phạm.
Ông Vaile nói ông ủng hộ các khoản tiền phạt cao hơn nữa, và nói rằng nhìn chung thì các hướng tu chính luật cần phải chuyển trách nhiệm cho chính phủ và doanh nghiệp, để họ suy nghĩ về biện pháp phòng ngừa, ngăn chặn, và chỉ lưu trữ những dữ liệu cần thiết.
Những gì bạn cần là một cách tiếp cận mang tính phòng ngừa hơn. Một trong số đó là mô hình giảm tối thiểu dữ liệu. Theo một nghĩa nào đó, thì lợi ích sau vụ hack dữ liệu Optus là trong một khoảnh khắc ngắn ngủi, mọi người phải giật mình chú ý một chút. Và bạn có thể, nếu bạn nghĩ thấu đáo hơn, thì sẽ nhận ra rằng thực sự tốt hơn nếu họ lưu trữ ít lại, giảm thiểu dữ liệu, nhưng cũng phải đặt dữ liệu trở lại trong tay những người có trách nhiệm.
Tiến sĩ Luật Brendan Walker-Munro tại trường Đại học Queensland nói luật về quyền riêng tư của Úc quá mơ hồ và ông hy vọng sự kiện Optus sẽ bổ sung một hướng đi mới cho quá trình xem xét dài hạn Đạo luật về quyền riêng tư.
Đạo luật về quyền riêng tư tuyên bố tương đối rõ ràng rằng, một khi công ty không sử dụng thông tin đó nữa, họ sẽ phải phá hủy thông tin đó. Nhưng một lần nữa, các điều khoản còn khá mơ hồ. Và giả sử, Optus hoàn toàn có thể nói, chúng tôi cần phải giữ thông tin đó trong trường hợp khách hàng quay lại. Hoặc chúng tôi cần giữ thông tin đó, nếu có khả năng xảy ra một vụ kiện tại tòa án. Vì vậy, có rất nhiều điều khoản mơ hồ trong Đạo luật về quyền riêng tư mà tôi thực sự hy vọng sẽ được giải quyết bằng việc xem xét và tu chính đạo luật này.
Ông nói cách tiếp cận của Canada trong việc trao nhiều quyền hơn cho người tiêu dùng là kinh nghiệm mà Úc nên xem xét học hỏi.
Một ví dụ trong luật quyền riêng tư của Canada, đã thực sự mang lại quyền cho công dân, có thể viết thư gởi đến các công ty lớn như viễn thông, Googles hay Apples và lá thư đó có thể thách thức sự tuân thủ của công ty. Vì vậy, bạn có thể viết thư cho các công ty này và nói: tôi muốn bạn hãy cho tôi biết bạn đang bảo vệ dữ liệu của tôi như thế nào. Tôi muốn bạn cho tôi biết bạn có bao nhiêu dữ liệu về tôi và bạn đang làm gì với chúng. Và những công ty này có nghĩa vụ pháp lý phải trả lời những thách thức đó của khách hàng. Và vì vậy tôi nghĩ rằng đó là một bước dễ dàng có thể được đưa vào, để thực sự mang lại cảm giác mạnh mẽ và tin tưởng trở lại cho người tiêu dùng.
Mười hai ngày sau khi thông báo vụ vi phạm xâm nhập dữ liệu ngày 22/9, Optus đã công bố hôm 3/10 về một sự đánh giá độc lập bên ngoài, do công ty Deloitte thực hiện, nhằm hiểu cách thức xâm nhập dữ liệu xảy ra như thế nào cũng như các biện pháp ngăn chặn trong tương lai.
Các dạng tin nhắn lừa đảo tương tự khác đang lan truyền liên quan đến Optus có thể được xem tại đây:
