Банки начали предупреждать клиентов о новом нарушении данных, связанном с записями PayID, о котором было сообщено надзирателю новой платежной платформы NPP Australia в конце пятницы.
NPP Australia заявила, что нераскрытое количество записей PayID “и связанных с ними данных в Службе адресации были подвержены уязвимости в одном из финансовых учреждений, спонсируемых в АЭС компанией Cuscal Limited.”
“Cuscal подтвердил, что технические проблемы на стороне клиента, лежащие в основе воздействия, были выявлены и немедленно решены”,-говорится в сообщении.
“Соответствующие данные включены PayID наименование и номера счетов.
“Ни одна из задействованных деталей не может сама по себе обеспечить вывод средств со счета клиента без конкретного дальнейшего участия клиента.”
Представитель Cuscal сообщил ITnews, что неуказанный клиент Cuscal «испытал всплеск запросов и решений PayID через ряд клиентских счетов.»
Однако пресс-секретарь заявил, что «никаких финансовых операций в этом процессе не было, и проблема была устранена» и что «технологические изменения были внесены клиентом немедленно, чтобы предотвратить любые дальнейшие данные PayID и снизить риск того, что данные PayID будут ненадлежащим образом получены другими лицами в будущем.»
«Как акционер-участник и спонсор Определенных учреждений на АЭС, Cuscal серьезно относится к нашей роли, и мы будем продолжать контролировать и поддерживать эту высоко ценимую услугу», — сказал ее представитель.
NPP Australia заявила, что финансовые учреждения, “чьи данные о клиентах были раскрыты, были предоставлены детали, чтобы они могли принять необходимые меры, которые включают уведомление клиентов и усиленную должную осмотрительность в отношении затронутых счетов.”
Понятно, что именно поэтому клиенты ЦБА начали получать уведомления о нарушении данных прошлой ночью, которые раскрывали “изощренную атаку на другое финансовое учреждение”.
В уведомлении ЦБА говорилось, что он “активно контактирует с клиентами, чья личная информация была раскрыта третьей стороне с помощью изощренной аферы PayID”.
Он предложил раскрыть детали, включая номера мобильных телефонов, адрес электронной почты, имя клиента, BSB и номера счетов.
ЦБА подтвердил в социальных сетях, что электронные письма с уведомлением о нарушении были законными, после вопросов клиентов.
Этот инцидент стал вторым ударом по PayID с июня, когда Westpac подверглась масштабному злоупотреблению функцией поиска адресов PayID.
NPP Australia заявила, что эти два инцидента приведут к ужесточению мер безопасности для пользователей системы.
“Кибербезопасность-это вопрос первостепенной важности для АЭС Австралии”, — говорилось в нем.
“В рамках нашей постоянной приверженности повышению уровня контроля кибербезопасности во всей экосистеме АЭС и после аналогичного события в июне мы недавно начали внедрять более целенаправленные требования к кибербезопасности для участвующих учреждений, повышая требования к обеспечению безопасности и тестируя безопасность конечных точек, чтобы гарантировать, что контроль выполняется должным образом.”
Сказал cuscal с австралийское управление пруденциального регулирования (APRA) и Управлением австралийского комиссара по информации (OAIC) в рамках тендера были уведомлены.
Еще больше впереди
