Skip to content
CBCyber Breaches
Recherche
Exploitation de vulnérabilitéContenu

Fuite de données Optus

Une API non authentifiée a exposé les données personnelles de 9,8 millions de clients actuels et anciens d’Optus — noms, dates de naissance, passeports, permis de conduire — à un attaquant anonyme.

Victime
Optus (Singtel)
Perte
$140.0M
données
9.8M
utilisateurs
9.8M
SecteurTélécoms
PaysAustralie
GroupeUnknown

Le 22 septembre 2022, l’opérateur télécom australien Optus a annoncé qu’un attaquant avait téléchargé les dossiers personnels de jusqu’à 9,8 millions de clients actuels et anciens — environ 40 % de la population australienne — via une API REST non authentifiée exposée sur Internet.

Ce qui s’est passé

Un endpoint d’information client à api.www.optus.com.au était accessible depuis l’Internet public sans aucune authentification et acceptait des identifiants clients numériques séquentiels. L’attaquant a énuméré les identifiants et récupéré des dossiers contenant noms, dates de naissance, adresses, e-mails, numéros de téléphone — et pour une partie : numéros de passeport, de permis de conduire et Medicare.

L’attaquant a d’abord demandé une rançon de 1 million de dollars, publié un échantillon de 10 000 dossiers comme preuve, puis retiré publiquement sa demande en s’excusant, invoquant l’ampleur du préjudice. Les données n’ont jamais été confirmées comme vendues ou rediffusées, mais elles n’ont jamais été récupérées.

Conséquences

  • 9,8 millions de clients ont vu leurs informations personnelles volées, dont environ 150 000 numéros de passeport et des millions de permis et numéros Medicare.
  • Réémission d’urgence de documents d’identité à travers les États australiens.
  • Coût direct pour Optus supérieur à 140 millions AUD (≈ 95 M$) en remédiation client, réémission de documents et actions de groupe.
  • A catalysé la refonte des sanctions de la loi sur la vie privée australienne (amende maximale relevée de 2,2 M AUD au plus élevé de : 50 M AUD, 30 % du chiffre d’affaires, ou trois fois le bénéfice obtenu).
  • Poursuites civiles de l’Office of the Australian Information Commissioner toujours ouvertes en 2025.

Pourquoi c’est important

Optus est un cas d’école de la sécurité des API comme risque de premier rang : un endpoint client exposé sans authentification, IDs numériques prévisibles, aucun rate limiting. La fuite a aussi remodelé l’application du droit de la vie privée en Australie et est désormais lecture standard dans les discussions régulatoires et au niveau des conseils d’administration sur l’exposition des documents d’identité comme catégorie distincte des identifiants.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
140.0M
USD · 140 000 000 $US
Rançon demandée
$1.0M
Rançon payée
Refusée
  • Perte d’exploitation$60.0M
  • Remédiation$80.0M

Chronologie

  1. Un attaquant découvre une API REST non authentifiée exposant des dossiers clients indexés par identifiants incrémentaux.

  2. Optus détecte un trafic sortant anormal et commence à enquêter.

  3. Optus divulgue publiquement la fuite, touchant initialement jusqu’à 9,8 millions de clients.

  4. L’attaquant publie un échantillon de 10 000 dossiers sur un forum criminel et demande une rançon de 1 M$ — puis retire la demande et s’excuse.

  5. L’Office of the Australian Information Commissioner engage des poursuites civiles contre Optus.

  6. L’Australian Communications and Media Authority publie son rapport d’enquête ; le coût total pour Optus dépasse 140 M AUD.

Sources

  1. optus.com.auhttps://www.optus.com.au/about/media-centre/media-releases/2022/09/optus-notifies-customers-of-cyberattack
  2. oaic.gov.auhttps://www.oaic.gov.au/about-us/our-regulatory-approach/civil-penalty-proceedings/optus-data-breach
  3. theguardian.comhttps://www.theguardian.com/business/2022/sep/22/optus-data-breach-cyber-attack-personal-information-stolen

Incidents liés