A Qantas poderia lidar com sanções muito graves depois que os dados dos clientes fossem atualizados, com milhões possivelmente influenciados por clientes que alertaram para não procurar vazamentos e estar alerta para fraudes.
A Flying Kangaroo foi uma das seis empresas mundiais que divulgou seus dados do fim de semana depois que hackers de caçadores de dólares espalhados do Lapsus foram ameaçados de resgate.
O vazamento veio de até 5,7 milhões de clientes da Qantas que receberam seus dados em um dos call centers offshore que usavam o software SalesForce.
Conheça as novidades com o app 7News: Baixe hoje mesmo
Os detalhes incluíam nomes completos, endereços de e-mail e detalhes de folhetos frequentes, bem como endereços comerciais e residenciais, datas de nascimento, números de telefone, sexo e, em menos casos, preferências de almoço.
Embora a Qantas possa terceirizar as suas funções a parceiros externos, certamente não delega a sua responsabilidade de manter os dados dos clientes em segurança, disse o Ministro da Segurança ao ciberespaço, Tony Burke.
“Você não pode simplesmente designar outras empresas e de repente pensar que não tem obrigações de segurança cibernética”, disse ele à ABC na segunda-feira.
“Há sanções muito graves”, alertou.
Burke apelou aos clientes para não procurarem dados na dark web, mesmo por conta própria.
Os dados poderiam ser potencialmente usados para ataques de roubo de identidade, pois fornecem aos hackers mais pontos de verificação, passei pelo especialista em ciberespaço Troy Hunt.
Embora não esteja muito preocupado com o vazamento de suas informações pessoais, Hunt disse que a Qantas “teria uma lei”.
“A Qantas já gastou milhões e milhões para lidar com isso e agora eles terão que lidar com todas as inevitáveis ações categóricas e coisas que se seguirão”, disse ele.
O professor de segurança cibernética Rmit Matthew Warren disse que o vazamento de dados levaria a uma “segunda onda de golpes”.
“Outros criminosos usarão essas informações fingindo vir da Qantas, tentando obter informações pessoais adicionais ou tentando dizer ‘oferecemos compensação, por favor, compartilhe os dados do seu cartão de crédito para transferência’”, disse ele.
“A maioria dos clientes da Qantas são australianos. Estamos falando de um quarto da população.”
A Qantas ofereceu uma linha de suporte e dicas especializadas de proteção de identidade aos clientes afetados.
A companhia aérea também recebeu ordens da Suprema Corte de NSW para impedir o acesso a dados roubados.
Mas não abrangeu jurisdições internacionais, com as bases de dados roubadas da Qantas, Vietnam Airlines, Gap, Fujifilm e duas outras empresas disponíveis publicamente online no domingo.
“As taxas de condenação do crime cibernético são muito baixas”, disse Warren.
“Os cibercriminosos não veem nenhuma lei como um impedimento real contra suas atividades”.
Reclamação da Qantas decola
Pedidos de compensação foram feitos contra Optus e Medibank após violações significativas de dados em 2022.
Uma reclamação sobre a violação de dados da Qantas já foi apresentada por Maurice Blackburn ao gabinete do Comissário de Informação Australiano.
O escritório de advocacia alegou que a Qantas violou as leis de privacidade, deixando de proteger adequadamente as informações dos clientes.
Warren disse que qualquer ação coletiva seria contestada porque os dados não foram roubados na Austrália.
A Qantas provavelmente argumentaria que um terceiro era responsável por protegê-la.
“Isso se torna muito complicado. Não é um caso claro”, disse ele.
“Muitas grandes empresas concentram-se na maximização do lucro para os acionistas que tomam decisões que não necessariamente definem a segurança como sua primeira diretriz.”
O Tribunal Federal ordenou na quarta-feira que os laboratórios da Australian Clinic pagassem US$ 5,8 milhões por uma violação dos dados de fevereiro de 2022, quando tiveram acesso a mais de 223 mil informações pessoais sem permissão.
