解封後的澳洲 （33）

前所未有，最嚴重的一起隱私泄露事件

過去一周，澳大利亞超過三分之一的人可能都感覺非常鬧心，因為他們先後收到了自己使用的電信公司Optus的郵件，說他們的部分個人信息已被泄露。

上周四9月22日，澳洲第二大電信公司Optus證實公司係統遭黑客入侵，據報道大約980萬現有和之前的客戶個人數據被盜，可能泄露的客戶個人信息包括姓名、出生日期、電話號碼、家庭地址、電子郵件和國民醫療卡（Medicare）信息、駕照號碼和護照號碼。

身份證件泄露的後果是，在澳洲可以用這些證件在網上開信用卡、申請金融機構貸款或者開一個新的手機號，等等。

這是澳大利亞曆史上最嚴重的一次數據泄露事件，客戶信息泄露事件的規模之大以及數據內容涉及之廣前所未有。

事件過程

但此次掀起軒然大波的泄密事件的劇情走向很是抓馬。

9月24日，一名自稱為Optusdata的黑客在黑客論壇BreachForums上發帖，要求Optus支付相當於價值100萬美元（約合153萬澳元）的Monero加密貨幣，否則就會公布泄露的用戶數據。黑客展示了200條數據集的樣本以證明其真實性，這些信息是以未加密的文本文件形式提供的，其中包含國民醫療卡的詳細信息、駕照號碼和其他信息。

9月27日上午，這名黑客在論壇上公布了10200名Optus用戶的個人信息，並威脅說，Optus有四天的時間來回應，否則相關的數據信息將被出售。他每天會發布1萬條信息，直到收到贖金。

但幾小時之後，黑客就刪除了這些數據，同時在論壇上發帖說，有“太多的眼睛”盯著他們，所以決定不再出售或者泄露Optus任何客戶的數據。他們向受數據泄露事件影響的逾萬名澳洲人道歉，並表示他們“親自刪除了硬盤上的數據”，因此不會有更多的信息泄露出去。

黑客用語法錯誤百出的英語寫道，那是他們唯一的拷貝。黑客還向Optus表示了“最深切的道歉”，稱他們“希望此後一切安好”。“Optus，如果你看到這條信息，並且提供聯係方法的話，我們會向你報告安全漏洞。現在沒有安全郵件，沒有漏洞賞金，沒有信息溝通渠道。你們沒有交付贖金，但我們無所謂了。當初發布泄露的數據是一個錯誤。”

（網圖）

已經有專家證實發布道歉聲明的賬戶與之前發布贖金威脅的賬戶是同一個。盡管黑客在幾個小時之後就刪除了泄露的信息，但10,200名澳洲人的信息數據已經出現在不同用戶的新帖子中。

這名黑客的頭像是一個紫色短發的女性卡通形象，其他黑客們用 “業餘”、”不專業 “和 “愚蠢 “等詞匯來形容他們的同行，他們告訴媒體，這次入侵很可能是一個黑客業餘愛好者的傑作，在網絡安全界這被稱為 “腳本小子”——即使用自動程序滲透到計算機服務器和網站的人。這相當於搗蛋的青少年在火車站塗鴉，為了給他們的朋友留下深刻印象。

突然就聯想起了上周末看的海風姐介紹的驚悚電影《I came by》，講的是兩位青年侵入一些有錢有勢的人家裏，在牆上留下“我來了“的塗鴉之作，結果在一位法官家發現了驚天秘密，也為此付出了極大的代價。

盡管此網上塗鴉非彼室內塗鴉，但大膽任性都會導向難以預見到的凶險旅程。

泄露原因及調查

針對Optus數據泄露事件，9月26日晚，澳洲聯邦警察宣布展開刑事調查——“颶風行動”（Operation Hurricane），與Optus、澳洲通信管理局（ASD）和澳大利亞數字安全中心（Australian Cyber Security Centre）等部門合作進行調查。

Optus的高管們私下和公開堅稱，他們沒有支付150萬的贖金。目前無人知道Optusdata是否因為他/他們確實害怕了而且真的刪除了這些客戶數據。澳大利亞戰略政策研究所（ASPI）國際網絡安全中心主任Fergus Hanson 說，最明顯的可能性是“肇事者是業餘黑客，他們意識到已經被澳大利亞聯邦警察局盯上了，所以嚇壞了”。他警告說：“出售或購買被盜的身份證明文件是一種犯罪行為，最高可判處10年的監禁。”

根據ABC報道，Optus公司的一位資深人士透露，這次大規模網絡攻擊很可能是利用了公司計算機係統的一個漏洞。這個漏洞與多數漏洞一樣，似乎是人為錯誤造成的，公司方麵想讓係統集成更容易一些，以便滿足行業監督機構澳大利亞通信和媒體管理局（Australian Communications and Media Authority，ACMA）的雙重認證規定。這個過程涉及到通過所謂的應用程序接口向其他係統開放公司的客戶身份數據庫，並假定這個應用程序編程接口（API）僅由授權的公司係統使用。簡單來說，這意味著公司的內部係統連接的測試網絡恰好有互聯網接入，能夠允許訪問者從外部訪問內部係統的數據資料。

聽上去，這似乎是一起令人崩潰且又令Optus慚愧的簡單盜竊事件。不過，Optus公司否認了“人為錯誤”造成用戶數據遭到竊取的說法，公司CEO Kelly Rosmarin表示，這是一次 "複雜的攻擊"，並稱該公司擁有非常強大的網絡安全係統。

（網圖）

更換身份證件

澳洲總理阿爾巴尼斯對Optus施加了壓力，認為Optus應該負責這些受影響的用戶更換護照的費用，而不是納稅人。今天總理宣布Optus 已經向他確認，該公司將為所有受到此次泄露事件影響的用戶支付更換護照的費用。

澳大利亞聯邦衛生部長馬克·巴特勒（Mark Butler ）表示，政府正在考慮為那些受到Optus數據泄露影響的人更換國民醫療卡。

全澳各州或領地都已經表示可以為擔心身份被泄露的用戶免費更換新的駕照，費用或被豁免或可以找Optus報銷。

麥子有不少朋友都使用著Optus的手機服務，也都先後收到了來自Optus的郵件，其中一個朋友的手機號在四年前就停用了，但還是收到了郵件，她唯一慶幸的是郵件中說她的身份證件信息沒有被泄露。否則她現在人在國內，怎麽換駕照呢？

對於Optus用戶而言，隨之而來的噩夢可能是會收到黑客發來的勒索短信。 已經有客戶收到了這樣的威脅短信，要求2天內支付2000澳元贖金，否則就出賣他的信息。

澳大利亞聯邦警察局（AFP）建議人們不要點擊聲稱來自Optus的電子郵件和短信中的鏈接，並對自稱是Optus工作人員的電話保持警惕。

AFP與各州和領地警方已經聯合成立了“守護者行動（Operation Guardian）”工作組，將幫助受影響的用戶並保護澳大利亞人免受網絡犯罪的侵害。該行動小組正在優先處理已被泄露身份信息的1萬多用戶，以確保他們不會成為金融欺詐的受害者。他們將重點監測在線論壇和其它互聯網和暗網網站，以發現試圖利用身份信息進行勒索欺詐的犯罪分子。

如果發現個人信息因為Optus遭到網絡攻擊而泄露，應該怎麽做呢？專家表示，可以定期檢查您的信用卡記錄，看看是否有任何異常活動，並使用信用監測服務。Optus宣布將為“受影響最大”的現客戶和原客戶提供一年期的免費信用監控和身份保護服務。

集體訴訟

位於墨爾本的Slater and Gordon律師事務所表示正在調查Optus在數據管理方麵的缺陷是否導致了近1000萬現有和以前的客戶的個人信息被泄露，該所計劃代表Optus用戶啟動一項集體訴訟，他們鼓勵受到影響的Optus客戶在其網站上注冊他們對訴訟的意向。這家律所曾在一起數據泄露案件中代表數千名個人信息在網上被泄露的尋求庇護者起訴澳大利亞政府，這些尋求庇護者的個人信息在2014年被泄露到網上。

這次數據泄露事件給澳大利亞的企業敲響了警鍾：雖然存儲數據所需的硬盤可能很便宜，但其中存儲的數據可是非常昂貴，收集和儲存不必要的個人信息會破壞隱私並產生風險。澳洲聯邦政府已經開始介入並承諾進行法律改革，以阻止公司或機構在使用客戶的身份文件後仍保留這些文件，並加大對未能保護客戶數據的公司的經濟處罰。

互聯網的誕生給人們的生活帶來了極大的便利，但如同任何事物一樣，這是一把雙刃劍，有利便有弊，從互聯網的誕生到大數據時代的來臨，如何保護個人隱私便成為一個老生常談的話題。智能化水平越高，個人隱私權受到侵犯的可能性也越高，人類都成為了數據透明人，先不說黑客的惡意行為，即使在公司和機構那裏，到底用戶的數據是如何存放和使用，我們都是不知道的，隻能寄希望於擁有數據的公司和機構能夠遵守保護個人隱私的信用承諾和道德底線，讓我們的個人信息不至於“裸奔”，不至於一購房就會接到N多房產中介的電話，問房子要不要出售或者要不要出租。

-------------------

再說說和疫情相關的事情。澳大利亞藥品管理局（TGA）近期批準了輝瑞公司為6個月至5歲的兒童提供的COVID-19疫苗加強針。TGA上周已經批準了輝瑞公司為5至11歲兒童提供的疫苗加強針。

澳大利亞的幾個州：西澳、新州、維州、昆州和南澳最近先後取消了在公共交通上佩戴口罩的規定，澳洲基本處於徹底放飛的狀況，唯有新冠檢測陽性患者必須隔離五天的規定還在執行中，澳總理今天宣布此項強製防疫措施將於10月14日結束，由於新冠疫情發放的隔離補助也將隨之取消，但隔離期仍將適用於脆弱環境中的工作人員，如醫院工作人員和老年護理人員。這一決定意味著從此之後，澳洲新冠檢測陽性的民眾是否居家隔離，完全靠自覺了，也意味著新冠疫情在澳洲爆發近兩年半導致的非正常生活要徹底回歸正常化了。

博友林向田兄提出建議，疫情報道可以結束了。我糾結了一下，確實也該結束了，隻是已經堅持了這麽久，疫情數據我還接著更新吧，也不費事，除非約翰斯·霍普金斯大學徹底停更了，希望那意味著新冠病毒已經在全球灰溜溜地自我消亡了。

今日疫情：全澳本周（9月23日-9月29日）新增病例共38,516例，日均5,502例；全國人口兩針疫苗接種率88.13%，16歲以上兩針接種率高於95%。根據約翰斯·霍普金斯大學發布的統計數據，澳洲累計病例為10,209,239例，死亡人數增至14,984例；全球累計病例超6.17億，死亡人數逾654萬；全球單日新增確診病例459,612例，新增死亡病例1,870例。數據顯示，美國、德國、法國、希臘、日本等國家位列單日新增確診病例數前五；美國、俄羅斯、希臘、德國、法國等國家位列單日新增死亡病例數前五。

根據相關報道， 1）俄烏戰爭進入第219天，9月23-27日，烏克蘭的四個州：頓涅茨克、盧甘斯克、紮波羅熱和赫爾鬆啟動了是否加入俄羅斯的“全民公投”，投票除了在當地投票站進行，工作人員還在士兵的陪同下挨家挨戶去收集選票。公投結果自然沒有出乎外界的預期：入俄支持率從87.05%-99.23%。 9月27日聯合國安理會召開緊急會議，沒有任何國家承認公投結果。但普京於當地時間9月30日簽署了承認赫爾鬆和紮波羅熱為“獨立”於烏克蘭的地區的法令，這些法令立即生效。接下來就是要宣布接受四地加入俄聯邦了。俄羅斯吞並烏克蘭四個俄占區標誌著俄烏戰爭危機的顯著升級。

普京簽署最新的部分軍事動員令後，給俄羅斯人帶來恐慌，俄羅斯各地爆發反戰抗議示威，成千上萬的人逃離俄羅斯。本周初，始於俄羅斯的兩條巨型天然氣管道分別發現了三個泄漏點。管道中充滿燃料，破裂產生了寬度達800米的氣泡，上浮到丹麥博恩霍爾姆島附近的波羅的海表麵。這兩條主要管道是為了從波羅的海海底將俄羅斯的天然氣輸送到德國。關於泄露發生的原因，大家各執一詞，德國、瑞典和丹麥認為管道泄漏並非事故，而是蓄意破壞，瑞典還探測到兩次水下爆炸。歐洲和美國的領導人表示，這是一起蓄意破壞行為，猜測指向俄羅斯；普京則把矛頭指向美國。

2）颶風“伊恩（Ian）”於美國東部時間9月28日下午3點左右以4級颶風強度在美國佛羅裏達州西南部登陸，最大持續風速達到每小時240公裏。多地發布了洪水緊急狀態預警，大量建築和車輛被淹沒或浸泡，超過200萬用戶斷電。根據專家估算，“伊恩”所造成的破壞和經濟損失可能達到450億到700億美元。

3）澳大利亞昆士蘭州宣布將在位於Mackay西部的Pioneer Burdekin建造世界上最大的抽水蓄能電站，抽水機由可再生能源驅動。昆州計劃在2035年前逐步淘汰煤電，實現80%為可再生能源。同時，澳洲最大的發電商AGL公司也宣布計劃在2035財年前關閉所有燃煤發電站，年溫室氣體排放量將從4000萬噸減少到零。

4）9月29日0—24時，中國31個省(自治區、直轄市)和新疆生產建設兵團報告新增本土確診病例97例（貴州17例，廣東16例，黑龍江13例，天津11例，四川8例，雲南6例，西藏6例，陝西4例，山西3例，福建3例，寧夏3例，河北2例，北京1例，內蒙古1例，河南1例，湖南1例，重慶1例）；新增本土無症狀感染者625例（寧夏176例，貴州80例，西藏66例，天津61例，黑龍江54例，新疆28例，雲南25例，河南19例，四川17例，廣東15例，陝西15例，河北9例，山東9例，廣西9例，浙江7例，安徽7例，甘肅7例，上海6例，江蘇4例，湖北4例，青海4例，湖南2例，江西1例）。