Sommige mensen die met de Australische privacytoezichthouder te maken hadden, kregen pas deze week te horen dat hun persoonlijke gegevens, inclusief bankgegevens, waren gehackt door advocatenkantoor HWL Ebsworth.
De aan Rusland gelieerde ransomwaregroep ALPHV/BlackCat heeft in april een advocatenkantoor gehackt. In september plaatste de groep op het dark web 1,1 TB aan gegevens die zij beweerden te hebben gestolen; later bleek dat het om 3,6 TB ging.
Onder de getroffenen bevonden zich 65 ministeries en instanties waaraan HWL Ebsworth juridische diensten verleende, waaronder het Office of the Australian Information Commissioner (OAIC), dat fungeert als de Australische privacytoezichthouder.
In een brief die het advocatenkantoor deze week aan een individu stuurde, gezien door Guardian Australia, zei HWL Ebsworth dat de gegevens die werden verzameld in zijn hoedanigheid om juridische diensten aan de OAIC te verlenen, werden verkregen via “ongeoorloofde toegang tot een deel van de IT-omgeving van HWLE”.
“Helaas ging het incident gepaard met de diefstal van gegevens uit de systemen van HWLE, met als gevolg dat een deel van uw persoonlijke gegevens die relevant zijn voor uw omgang met de OAIC werd meegenomen.”
De verkregen informatie omvatte naam, gecodeerde berichtencontacten, bankgegevens, adres en handtekening.
In de brief staat dat het bedrijf een gerechtelijk bevel heeft uitgevaardigd bij het Hooggerechtshof van New South Wales, dat “probeert verdere toegang, gebruik, verspreiding of publicatie van gegevens die op het dark web zijn geplaatst, te verbieden, ook door de media”.
Het verbod betekende dat degenen die hun gegevens op het dark web plaatsten dit alleen via het bedrijf zelf te weten konden komen, waardoor het langer duurde voordat ze op de hoogte werden gebracht.
HWL Ebsworth zei dat de reden dat het zes maanden na de hack duurde om het individu op de hoogte te stellen, was “omdat er een zeer grote hoeveelheid gegevens werd geëxtraheerd, maar de omvang van de impact op persoonlijke gegevens niet meteen duidelijk was”.
“Er was een complexe handmatige beoordeling nodig om te beoordelen om welke persoonlijke gegevens het ging en om de betrokken personen te identificeren.”
na het promoten van de nieuwsbrief
Vorige maand verdedigde de nationale cyberveiligheidscoördinator van Australië, Air Marshal Darren Goldie, de tijd die nodig is om degenen die betrapt zijn op de inbreuk op de hoogte te stellen als een maatregel om angst te voorkomen.
“Hoewel het enig voordeel heeft om die informatie vroegtijdig in het publieke domein te brengen, heb ik de beslissing genomen om HWL Ebsworth toe te staan individuen eerst via NDIS-aanbieders en verzorgers op de hoogte te stellen voordat de informatie publiekelijk wordt vrijgegeven”, zei hij.
Goldie zei destijds dat de 16 weken durende formele gecoördineerde reactie van de regering op de aanval was geëindigd, maar dat er een strafrechtelijk onderzoek werd voortgezet.
Een woordvoerder van HWL Ebsworth verwees Guardian Australia naar de eerdere verklaringen van het bedrijf. Het bedrijf zei eerder dat het probeerde de getroffenen zo snel mogelijk op de hoogte te stellen.
Guardian Australia heeft de OAIC om commentaar gevraagd.