Optus, dolandırıcıların kullandığı üçüncü taraf kimlik doğrulama sistemindeki bir güvenlik açığından yararlanarak telefon numaralarını çalmalarına ve kullanıcıların banka hesaplarına erişmelerine olanak sağlamasının ardından 826.000 dolar para cezasına çarptırıldı.
Olay, 4G ve 5G ağının bazı kısımlarını kullanmak için Optus ile mobil sanal ağ operatörü (MVNO) anlaşması olan Coles Mobile’ın müşterilerini hedef aldı.
Avustralya İletişim ve Medya Otoritesi (ACMA), güvenlik açığının “dolandırıcıların cep telefonu numarası taşıma için gerekli doğrulama sürecinin bazı kısımlarını atlamasına olanak sağladığını” söyledi.
Dolandırıcılar daha sonra “en az dört tüketicinin mobil hizmetlerinin kontrolünü ele geçirip banka hesaplarına erişebildiler ve bunun sonucunda 39.000 dolarlık kayıp rapor edildi.”
ACMA, kamuya açık raporunda güvenlik açığı hakkında ayrıntılı bilgi vermeyi reddetti [pdf] ancak soruşturma için Avustralya Siber Güvenlik Merkezi, Avustralya Mali Suçlar Borsası ve dolandırıcılık raporlama sistemi yürüten Avustralya Rekabet ve Tüketici Komisyonu gibi kurumlara güvenildiğini söyledi.
ACMA üyesi Samantha Yorke, “Bu, hızlı bir şekilde düzeltilen tek seferlik bir sorun olsa da, Avustralya’nın en büyük ikinci sağlayıcısı bir yana, herhangi bir telekomünikasyon şirketinin sağlam müşteri kimliği doğrulama sistemlerine sahip olmaması affedilemez” dedi.
“Dolandırıcılar her zaman sistemlerde herhangi bir zayıflık ararlar ve bu durumda Optus, insanları doğrudan zarara maruz bırakan bir güvenlik açığı bıraktı.”
826.000 dolarlık ceza, ACMA’nın bu tür bir ihlal nedeniyle bir taşıyıcıya verebileceği maksimum cezadır.
ACMA, “Tüketiciler bir telefon dolandırıcılığının kurbanı olduklarını düşünürlerse derhal telekomünikasyon ve finans kurumlarıyla iletişime geçmelidir” tavsiyesinde bulundu.