Duas fitas magnéticas contendo detalhes da transação para 12 milhões de contas que pertencem ao Commonwealth Bank da Austrália estão faltando. Este incidente é talvez a maior perda de dados na Austrália. Curiosamente, o incidente ficou fora do radar por dois anos - até que o Buzzfeed publicou um relatório sobre isso há apenas alguns dias.
Como os dados desapareceram?
O Commonwealth Bank perdeu as histórias financeiras pessoais de 12 milhões de clientes, e optou por não revelar a violação aos consumidores, em uma das maiores violações de privacidade de serviços financeiros que já ocorreu na Austrália, Buzzfeed descoberto. O incidente aconteceu depois que um subcontratado perdeu várias unidades de fita com os dados financeiros em 2016.
Embora o banco tenha notificado inicialmente o Office of the Australian Information Commissioner (OAIC) da violação logo após tomar conhecimento dela em 2016, um porta-voz da OAIC disse ao BuzzFeed News que agora está fazendo mais investigações sobre a violação de privacidade, após um relatório condenatório sobre a cultura do banco divulgado na terça-feira.
Angus Sullivan, O executivo do grupo interino de serviços bancários de varejo do Commonwealth Bank disse em comunicado que o banco leva muito a sério a proteção dos dados dos clientes e incidentes como esse não são aceitáveis. O banco também está garantindo a seus clientes que nenhuma ação é necessária, pedindo desculpas por qualquer preocupação que o incidente possa ter causado.
“Realizamos uma investigação forense completa, fornecer mais atualizações aos nossos reguladores após a sua conclusão. Também implementamos um monitoramento aprimorado das contas dos clientes para garantir que nenhum comprometimento de dados tenha ocorrido,” Sullivan disse no comunicado.
Uma investigação foi iniciada em maio 9, 2016, depois que o banco não recebeu nenhuma certificação sobre as fitas serem destruídas.
Dados de fita magnética não são fáceis de explorar, Troy Hunt diz
O Commonwealth Bank começou a notificar seus clientes na quinta-feira por e-mail. Deve-se notar que, uma vez que a potencial violação de dados ocorreu há dois anos, A lei de notificação de violação obrigatória da Austrália não se aplica. A lei de notificação de violação entrou em vigor em fevereiro deste ano, exigindo que as organizações notifiquem os reguladores e consumidores dentro 30 dias de violações que possam resultar em danos graves, especialistas em privacidade explicaram.
De acordo com o Troy Hunt do popular serviço Have I Been Pwned, o fato de os dados estarem em fitas magnéticas provavelmente influenciou a decisão do banco de não informar seus consumidores.
Fitas magnéticas não são o mesmo que um pendrive, Hunt explicou, acrescentando que “você não vai apenas jogar fora [uma fita] em uma unidade e você está pronto para ir. Seria preciso alguém que soubesse que havia valor nessa coisa e depois saísse e investisse esforço para fazê-lo [leia os dados].”
Não obstante, ainda é um incidente de segurança e privacidade de enormes proporções.