西太平洋银行(Westpac)的实时支付平台PayID系统遭网络攻击,近10万客户的私人信息泄露。这次袭击行为还会影响到其它银行的客户。计算机安全专家警告,这些被窃取的私人信息可能会被用于欺诈。
PayID平台允许客户使用手机号码或电子邮件地址在银行之间进行即时转账。
许多澳洲人并不知道,PayID就像一本电话号码簿,任何人衹要输入手机号码或电子邮件地址,就能查出其相应银行账户持有人的姓名。这就让黑客有机会进行,安全专家称之为的“枚举攻击”(即逐个列举)。在这种攻击下,黑客可以随机输入数字以查获成千上万澳洲人的姓名和手机电话号码。
安全专家表示,得到这些细节,黑客即可进行大规模的欺诈活动。
西太平洋银行3日(周一)晚证实了这一事件,但没有透露有多少人受到影响。
西太平洋银行发言人说:“本银行可以证实,我们发现(新支付平台)PayID的功能被滥用,我们采取了额外的预防措施,但不包括系统关闭。”
“结果是没有客户的银行账号被泄露。”发言人说,“目前还没有发现进一步的不当活动。”
根据悉尼晨锋报获得的一份机密备忘录,西太平洋银行向澳洲银行业和金融业披露了有关这次网攻事件的信息。其中说:“2019年5月22日,西太平洋银行注意到,澳洲支付平台PayID(NPPA PayID)的大量查询(约60万个)来自七个被泄露的西太平洋银行有效账户,约9.8万个查询成功解析了一个短名字,并暴露给了欺诈者。”
运营西太平洋银行新支付平台的澳洲支付平台公司的一位女发言人表示,“我们不能就个别银行及他们层次上的任何问题发表置评。”
隐私专员不愿证实此事。其一位女发言人说:“根据我们的监管行动政策,我们一般不对具体事件发表评论。”
澳洲安全顾问亨特(Troy Hunt)表示,“PayID平台的便利性是显而易见的,”“不太清楚的是,使用该平台的用户是否愿意以隐私为代价。我怀疑大多数人并没有意识到他们的个人信息已以这种方式被泄露。”