Bij de aanval op de Australische telecomprovider Optus zijn de identificatienummer van 2,1 miljoen klanten gestolen. Het gaat om zeker 150.000 paspoortnummers (pdf). Optus heeft gedupeerde klanten vanwege het datalek aangeraden om een nieuwe identiteitsdocument aan te vragen. Verder heeft Optus aangekondigd dat het Deloitte een onderzoek naar de aanval laat uitvoeren.

Bij de aanval die vorige maand plaatsvond kwamen persoonsgegevens van zo'n tien miljoen Australiërs in handen van een aanvaller. Nu blijkt dat het ook om identificatienummers van 2,1 miljoen Optus-klanten gaat. De aanvaller eiste eerst losgeld van Optus en maakte een deel van de gestolen data openbaar. Bij de aanval werden namen, geboortedata, telefoonnummers en e-mailadressen en voor een deel van de klanten ook rijbewijsnummers en paspoortnummers buitgemaakt. Een aantal dagen nadat het datalek bekend werd maakte de aanvaller excuses en beweerde alle gestolen data verwijderd te hebben.

De aanvaller claimt dat hij de klantgegevens door middel van een onbeveiligde API kon downloaden. Optus stelde echter dat het om een "geraffineerde aanval" ging. Vanuit de Australische overheid is fel op deze bewering gereageerd. "Wat bij Optus gebeurde was geen geraffineerde aanval. In dit land is geen plek voor een telecomprovider die de deur openlaat zodat dergelijke data kan worden gestolen", aldus Clare O'Neil, de Australische minister van Binnenlandse Zaken en minister voor Cybersecurity.