Skip to content
Exploitation de vulnérabilitéContenu

Fuite de données Optus

Une API non authentifiée a exposé les données personnelles de 9,8 millions de clients actuels et anciens d’Optus — noms, dates de naissance, passeports, permis de conduire — à un attaquant anonyme.

Victime
Optus (Singtel)
Perte
$140.0M
données
9.8M
utilisateurs
9.8M

Le 22 septembre 2022, l’opérateur télécom australien Optus a annoncé qu’un attaquant avait téléchargé les dossiers personnels de jusqu’à 9,8 millions de clients actuels et anciens — environ 40 % de la population australienne — via une API REST non authentifiée exposée sur Internet.

Ce qui s’est passé

Un endpoint d’information client à api.www.optus.com.au était accessible depuis l’Internet public sans aucune authentification et acceptait des identifiants clients numériques séquentiels. L’attaquant a énuméré les identifiants et récupéré des dossiers contenant noms, dates de naissance, adresses, e-mails, numéros de téléphone — et pour une partie : numéros de passeport, de permis de conduire et Medicare.

L’attaquant a d’abord demandé une rançon de 1 million de dollars, publié un échantillon de 10 000 dossiers comme preuve, puis retiré publiquement sa demande en s’excusant, invoquant l’ampleur du préjudice. Les données n’ont jamais été confirmées comme vendues ou rediffusées, mais elles n’ont jamais été récupérées.

Conséquences

  • 9,8 millions de clients ont vu leurs informations personnelles volées, dont environ 150 000 numéros de passeport et des millions de permis et numéros Medicare.
  • Réémission d’urgence de documents d’identité à travers les États australiens.
  • Coût direct pour Optus supérieur à 140 millions AUD (≈ 95 M$) en remédiation client, réémission de documents et actions de groupe.
  • A catalysé la refonte des sanctions de la loi sur la vie privée australienne (amende maximale relevée de 2,2 M AUD au plus élevé de : 50 M AUD, 30 % du chiffre d’affaires, ou trois fois le bénéfice obtenu).
  • Poursuites civiles de l’Office of the Australian Information Commissioner toujours ouvertes en 2025.

Pourquoi c’est important

Optus est un cas d’école de la sécurité des API comme risque de premier rang : un endpoint client exposé sans authentification, IDs numériques prévisibles, aucun rate limiting. La fuite a aussi remodelé l’application du droit de la vie privée en Australie et est désormais lecture standard dans les discussions régulatoires et au niveau des conseils d’administration sur l’exposition des documents d’identité comme catégorie distincte des identifiants.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
140.0M
USD · 140 000 000 $US
Rançon demandée
$1.0M
Rançon payée
Refusée
  • Perte d’exploitation$60.0M
  • Remédiation$80.0M

Chronologie

  1. Un attaquant découvre une API REST non authentifiée exposant des dossiers clients indexés par identifiants incrémentaux.

  2. Optus détecte un trafic sortant anormal et commence à enquêter.

  3. Optus divulgue publiquement la fuite, touchant initialement jusqu’à 9,8 millions de clients.

  4. L’attaquant publie un échantillon de 10 000 dossiers sur un forum criminel et demande une rançon de 1 M$ — puis retire la demande et s’excuse.

  5. L’Office of the Australian Information Commissioner engage des poursuites civiles contre Optus.

  6. L’Australian Communications and Media Authority publie son rapport d’enquête ; le coût total pour Optus dépasse 140 M AUD.

Sources

  1. optus.com.auhttps://www.optus.com.au/about/media-centre/media-releases/2022/09/optus-notifies-customers-of-cyberattack
  2. oaic.gov.auhttps://www.oaic.gov.au/about-us/our-regulatory-approach/civil-penalty-proceedings/optus-data-breach
  3. theguardian.comhttps://www.theguardian.com/business/2022/sep/22/optus-data-breach-cyber-attack-personal-information-stolen

Incidents liés

Exploitation de vulnérabilitéEn cours

Faille SSRF de Cisco Unified CM exploitée pour déposer des webshells (CVE-2026-20230)

Des attaquants ont commencé à exploiter activement une faille critique de falsification de requête côté serveur, non authentifiée, dans Cisco Unified Communications Manager, suivie sous CVE-2026-20230, en se servant du service WebDialer pour écrire des fichiers et déposer des webshells JSP sur des serveurs de téléphonie d'entreprise.

Victim
Cisco Unified Communications Manager
Exploitation de vulnérabilitéRésolu

Violation de données chez Virgin Mobile Polska

Une partie non autorisée a exploité une faille dans l'application d'enregistrement prépayé de Virgin Mobile Polska pour accéder aux données personnelles de plus de 114 000 abonnés, dont les numéros d'identité PESEL et les données de carte d'identité. L'autorité polonaise de protection des données a infligé à l'opérateur une amende de près de 2 millions de PLN pour des tests de sécurité insuffisants.

Victim
Virgin Mobile Polska
Records
115.0K