Latitude Financial zahlt kein Lösegeld an diejenigen, die hinter einem Cyberangriff stehen, da die Details aus 14 Millionen Kundendatensätzen weiterhin dem Risiko ausgesetzt sind, veröffentlicht zu werden.
Kernpunkte:
- 14 Millionen Kundendatensätze sind bei Latitude Financial von einer Datenschutzverletzung betroffen
- Das Unternehmen sagt, es habe eine Lösegeldforderung von Hackern erhalten, werde aber nicht zahlen
- Die Bundesregierung erwägt, Lösegeldzahlungen nach dem Medibank-Hack illegal zu machen
Latitude hat der Börse mitgeteilt, dass es eine Lösegeldforderung erhalten hat, aber nicht zahlen wird, basierend auf dem Rat der Bundesregierung und Experten für Cyberkriminalität.
„Latitude wird kein Lösegeld an Kriminelle zahlen“, sagte Latitude-Chef Bob Belan.
„Basierend auf den Beweisen und Ratschlägen gibt es einfach keine Garantie, die dazu führen würde, dass Kundendaten zerstört werden.
“[It] würde nur weitere Erpressungsversuche gegenüber australischen und neuseeländischen Kunden in der Zukunft fördern.”
Latitude würde den Geldbetrag, den Hacker von ihm verlangten, nicht offenlegen.
Der Cybersicherheitsexperte Ryan Ko hat die Entscheidung von Latitude, nicht zu zahlen, unterstützt.
„Der Rat, nicht zu zahlen, ist richtig, denn wenn Sie zahlen, gibt es keine Garantie, dass sie es Ihnen nicht noch einmal antun“, sagte Professor Ko, Leiter der Abteilung Cyber an der University of Queensland, gegenüber ABC.
Was jetzt mit den gestohlenen Daten passiert, sagte Professor Ko, das entzieht sich der Kontrolle von Latitude.
„Jetzt werden die Kriminellen das Risiko der Veröffentlichung von Daten bewerten und wie dies die Behörden oder die Strafverfolgungsbehörden dazu anregen wird, zu kommen und sie zu erledigen.
„Jetzt ist der Ball praktisch im Aus [Latitude’s] Gericht, sie können nicht viel tun, außer mit den Behörden zu arbeiten, und leider sitzen die Verbraucher jetzt auf der Lauer.”
Latitude sagte, die Angelegenheit werde von der australischen Bundespolizei untersucht und arbeite auch mit dem australischen Cyber Security Center und anderen Experten an der Reaktion.
Latitude ist dabei, betroffene Kunden zu kontaktieren
Mitte März gab der bankfremde Kreditgeber zunächst bekannt, dass mehr als 330.000 Kundendatensätze von einer Datenpanne betroffen waren, die sich jedoch später auf viele Millionen Datensätze ausweitete.
Ende März wurde bestätigt, dass 14 Millionen Datensätze, darunter 7,9 Millionen Führerscheine, durch den Vorfall kompromittiert wurden.
Heute sagte Latitude, dass die gestohlenen Daten, die in der Lösegeldforderung aufgeführt sind, mit der Anzahl der betroffenen Kunden übereinstimmen, die das Unternehmen zuvor bekannt gegeben hatte.
„Wir sind dabei, alle Kunden, früheren Kunden und Bewerber, deren Informationen kompromittiert wurden, zu kontaktieren, Einzelheiten zu den gestohlenen Informationen, den von uns bereitgestellten Support und unsere Pläne zur Behebung zu skizzieren“, sagte es und bestätigte sein Call Center und seinen Kundendienst Der Betrieb lief jetzt wie gewohnt.
Kunden haben sich nach dem Angriff über die mangelnde Kommunikation von Latitude beschwert.
Die Zahlung eines Lösegelds riskiert, eine „Sucker-Liste“ zu erstellen
Wenn Latitude das Lösegeld gezahlt hätte, hätte sich das, abgesehen davon, dass es gegen den Rat der Regierung verstoßen hätte, selbst zum Ziel weiterer Angriffe gemacht, sagte Professor Ko.
„Die meisten Unternehmen, die das Lösegeld international gezahlt haben, wurden auf eine sogenannte ‚Sucker-Liste‘ gesetzt“, sagte Professor Ko.
„Die Liste wird auf der ganzen Welt geteilt und diese Leute werden letztendlich von mehr Ransomware-Angriffen getroffen und es endet nie.
„Der Rat lautet also: Zahlen Sie nicht und reduzieren Sie die Anreize für Gangs, wiederzukommen.“
Das Latitude-Update kommt, nachdem Bundesministerin für Cybersicherheit, Clare O’Neil, angekündigt hat, dass Banken und Finanzdienstleistungsunternehmen „Kriegsspiele“ unternehmen werden, um sich auf zukünftige Cyberangriffe vorzubereiten.
Beim hochkarätigen Cyberangriff auf die Medibank im vergangenen Jahr posteten Hacker gestohlene Kundendaten im Dark Web, nachdem sie von der Krankenversicherung ein Lösegeld in Höhe von 15 Millionen US-Dollar gefordert hatten.
Als Reaktion auf die Verletzung der Medibank sagte Frau O’Neil, die Regierung erwäge neben anderen Reformen, es für Unternehmen illegal zu machen, Lösegeld an Hacker zu zahlen.
„Wenn dies auf nationaler Ebene geschieht, ist dies ein kluger Schachzug, da dies Ransomware-Banden davon abhält, australische Ziele anzugreifen, da sie auf keinen Fall Geld bekommen können, um in ein anderes Land zu ziehen“, sagte Professor Ko.
„Die Realität ist jedoch, dass die IT-Dienste, die wir nutzen, nicht nur aus Australien stammen, also kommt hier die Grauzone.“
