Eksklusiv: Data omfatter ansattes navn, brukernavn, arbeid telefonnumre, arbeid e-post og system passord

Avdeling for Sosiale Tjenester skrev til nåværende og tidligere ansatte advarsel dem personopplysninger som holdes av en entreprenør som hadde blitt brutt.
Foto: Mick Tsikas/AAP

Teknologi

Data brudd treff Avdeling for Sosiale Tjenester kredittkort system

Eksklusiv: Data omfatter ansattes navn, brukernavn, arbeid telefonnumre, arbeid e-post og system passord

• Del på Facebook

• Del på Twitter

• Del via E-post

• Se flere delingsalternativer

• Del på LinkedIn

• Del på Pinterest

• Del på Google+

• Del på WhatsApp

• Del på Messenger

• Lukk

@Paul_Karp

Torsdag 23. November 2017 17.00 GMT

Sist endret på torsdag 23 November 2017 17.01 GMT

Avdeling for Sosiale Tjenester har skrevet til 8 500 nåværende og tidligere ansatte advarsel dem deres personlige opplysninger som holdes av en entreprenør har blitt brutt.

I brev sendt ut i begynnelsen av November institutt varslet de ansatte for å “data-kompromiss knyttet til ansatte profiler innen instituttets kredittkort management system før 2016”.

Kompromittert data omfatter informasjon om kredittkort, ansattes navn, brukernavn, arbeid telefonnumre, arbeid, e-poster, system passord, Australske regjeringen tjenester nummer, offentlig service klassifisering og organisasjonsenhet.

AMP blant selskaper som er berørt av data brudd på 50 000 ansatte poster

Les mer

Avdelingen unnlatt å varsle ansatte hvor lenge dataene ble utsatt for, men en DSS-talsmann fortalte Guardian Australia som leverandøren, Business Information Services, hadde oppmerksom på at data som er åpent fra juni 2016 til oktober 2017. Data som er knyttet til perioden 2004 til 2015.

Brev fra DSS chief financial officer, Scott Dilley, skyld “handlinger av instituttets tredjeparts-leverandør” og si kompromiss “er ikke et resultat av noen av instituttets interne systemer”.

“Data har nå blitt sikret,” Dilley skrev. Han sa det var “ingen bevis” av feil bruk av data eller avdeling kredittkort.

DSS-talsmann sa at på 3. oktober Australske Signaler Direktoratet hadde varslet det av kompromisser. “Den Australske Cyber Security Centre umiddelbart kontaktet den eksterne leverandøren for å sikre de opplysninger og fjerne sårbarheten innen timer etter varsling,” sa han.

Bedt om å vurdere alvorlighetsgraden av bruddet, Australske Privacy Foundation leder, David Vaile, sa det hadde påvirket et “betydelig antall” av folk, og bemerket departementet hadde gitt staff “ingen anelse hvor langt tilbake” det utvidede eller hvor lenge data ble utsatt for.

Han sa at de ansattes brukernavn, fullt navn og system passord ble “materiale som kan være ganske nyttig for identitetstyveri, svindel og maskert”, der en angriper utgir seg for å være en autorisert bruker.

Vaile sa varslingen var et “mesterverk av passiv aggressive å skrive” som forsøkte å nedtone effekten av brudd, når det skal være til fordel for ofrene å gi så mye informasjon som mulig for å møte trusselen.

Det gjorde ikke inneholde bekreftelse på at outsourcing funksjoner til en ekstern leverandør “representerer en økning risiko, og i dette tilfellet har det kommet hjem til hønsehus”, sa han.

Vaile spurte hvor omfattende avdeling henvendelser var om de data som var tilgjengelig, og legger til at liten trøst kan være hentet fra det faktum avdelinger kredittkort hadde ikke blitt anmeldt fordi konsekvensene av et datainnbrudd kan ta tid å vise seg.

En talskvinne for Business Information Services sa at som et resultat av en “kontroll sårbarhet” noen historiske opplysninger om de ansattes arbeid utgifter “ble utsatt for mulig cyber brudd”.

“Det er ingen bevis for en cyber-angrep, bare at det var mulig,” sa hun.

Medicare data brudd: regjeringen respons ‘sleipe’, sier tidligere AFP-offiser

Les mer

Den talskvinne sa at informasjonen som er inkludert “delvis anonym arbeid-relaterte kostnader” inkluderer “kostnadsbærere, corporate kredittkort uten CCV og utløpsdato og passord som ble kryptert og derfor ikke synlig”.

“Hovedtyngden av kredittkortinformasjon i dataene hadde utløpt.”

BIS talskvinne sa sårbarheten var “sikret seg innen fire timer”, er dataene ikke lenger er offentlig tilgjengelig, og det hadde foretatt en sikkerhetsgjennomgang.

DSS-talsmann sa institutt “tar sikkerhet på alvor”.

Han sa avdelingen har arbeidet med ACSC og Kontoret til det Australske informasjon kommissær for å varsle 2,000 nåværende og 6500 tidligere ansatte og å jobbe med den eksterne leverandøren “for å sikre effektive ordninger er på plass, og for å støtte berørte ansatte”.

Brevet foreslo også at ansatte kan ønske å endre eller forsterke passord hvis de har brukt samme passord på tvers av arbeid og personlige kontoer.