Exklusivt: Data innehåller anställdas namn, användarnamn, arbete telefonnummer, arbete e-post och lösenord

Institutionen för Sociala Tjänster skrev till nuvarande och tidigare anställda varning personuppgifter som innehas av en entreprenör hade brutit mot.
Foto: Micke Tsikas/AAP

Teknik

Dataintrång träffar Department of Social Services-kreditkort-system

Exklusivt: Data innehåller anställdas namn, användarnamn, arbete telefonnummer, arbete e-post och lösenord

• Dela på Facebook

• Dela på Twitter

• Dela via E-post

• Visa mer delningsalternativen

• Dela på LinkedIn

• Dela på Pinterest

• Dela på Google+

• Dela på WhatsApp

• Dela på Messenger

• Stäng

@Paul_Karp

Torsdag 23 November 2017 17.00 GMT

Senast ändrad torsdag 23 November 2017 17.01 GMT

Institutionen för Sociala Tjänster har skrivit till 8.500 nuvarande och tidigare anställda varnade dem för deras personliga data som innehas av en entreprenör har brutits.

I brev som sänds i början av November institutionen larmade anställda att “en data kompromiss som rör personal profiler inom institutionen kreditkort management system före 2016”.

Äventyras data innehåller information om kreditkort, arbetstagarnas namn, användarnamn, arbete telefonnummer, arbete e-post, lösenord, Australiska regeringen tjänster antal public service-klassificering och organisation enheten.

AMP bland företag som drabbats av dataintrång 50 000 personal poster

Läs mer

Institutionen misslyckades med att varna personalen hur länge uppgifterna var utsatt för en DSS-talesman sade till Guardian Australien som entreprenören, Business Information Services, hade informerats om att uppgifterna var öppen från juni 2016 till och med oktober 2017. Data för perioden 2004 till 2015.

Brev från DSS chief financial officer, Scott Dilley, skylla på “de åtgärder av avdelningens tredje part” och säger kompromiss “är inte ett resultat av någon av institutionens interna system”.

“De uppgifter som nu har tecknats,” Dilley skrev. Han sade att det var “inga bevis” av felaktig användning av data eller avdelningens kreditkort.

DSS talesman sade att den 3 oktober, den Australiska Signaler Direktoratet hade anmält det kompromiss. “Den Australiska Cyber Security Centre tog omedelbart kontakt med extern konsult för att säkra information och ta bort den sårbarhet inom några timmar efter anmälan,” sade han.

Ombedd att bedöma hur allvarlig överträdelsen är, den Australiska Privacy Foundation ordförande, David Vaile, sa att det hade påverkat en “betydande del” av människor och konstaterade att avdelningen hade gett personalen “ingen aning om hur långt tillbaka” det utvidgade eller hur länge data var utsatt för.

Han sade att de anställdas användarnamn, fullständiga namn och lösenord för var “material som kan vara ganska användbart för att identitetsstölder, bedrägerier och maskerad”, där en angripare utger sig för att vara en auktoriserad användare.

Vaile sa att anmälan var ett “mästerverk av passiv aggressiv skriva” som syftade till att tona ned effekten av brott, när det borde vara till förmån för offren att ge så mycket information som möjligt för att motverka hotet.

Det gjorde inte innehålla bekräftelse på att outsourcing av funktioner till en extern leverantör “innebär en ökad risk och i det här fallet har det kommit hem till hönshus”, sade han.

Vaile ifrågasatte hur omfattande institutionen: s undersökningar var att utreda om de uppgifter som öppnades, och lägger till lite tröst kan hämtas från det faktum avdelnings-kredit-kort inte hade laddats eftersom konsekvenserna av ett dataintrång kan ta tid att förverkliga.

En taleskvinna för Business Information Services sade att som en följd av en “kontroll sårbarhet” några historiska uppgifter om anställdas arbete kostnader “var utsatta för möjliga it brott”.

“Det finns inga bevis för en cyber-attack, bara att det var möjligt,” sade hon.

Medicare dataintrång: regeringens svar ‘avskyvärda’, säger före detta officer AFP

Läs mer

Den taleskvinna sade den information som ingår “delvis anonym arbetsrelaterade kostnader”, inklusive “cost center företagens kreditkort utan CCV -, förfallodagar och lösenord som var del av och därför inte synliga.

“Huvuddelen av kreditkortsuppgifter inom data hade gått ut.”

BIS taleskvinna sade sårbarheten var “säkrad inom fyra timmar”, data är inte längre tillgängligt för allmänheten och det hade åtagit sig en säkerhetsgranskning.

DSS-talesman sade att avdelningen “tar säkerheten på allvar”.

Han sa institutionen har arbetat med ACSC och Kontor för den Australiska information commissioner att anmäla 2,000 aktuella och 6.500 anställda och före detta anställda och att arbeta med extern entreprenör för att säkerställa effektiva arrangemang, och för att stödja drabbade personal”.

Skrivelsen föreslog också att anställda kan och vill ändra eller förstärka lösenord om de använt samma lösenord överallt arbete och personliga konton.