澳大利亚养老金提供商Spirit Super的网站遭钓鱼攻击导致“一些个人信息被泄露”。
“超级基金”证实,在员工的电子邮件帐户被访问后,用户数据于2022年5月19日遭到泄露。对该事件的调查发现,“未经授权访问包含个人数据的邮箱”,其中包括姓名和其他敏感信息。Spirit Super表示,大约有 50,000人。
Spirit Super代表澳大利亚325,000名会员,管理着价值260亿澳元的资金。
公开数据
这家总部位于塔斯马尼亚的公司在新闻稿中写道:“可能已被泄露的个人数据类似于年度声明中提供的一些信息,包括姓名、地址、年龄(截至2019年和2020年)、电子邮件地址、电话号码、会员帐号和会员余额(截至2019年和2020年)。“重要的是要注意,这些数据不包括出生日期、政府身份证号码(例如税号或驾驶执照详细信息)或任何银行账户详细信息。”
Spirit Super表示,它不相信这次攻击是有针对性的,而是在一场广泛的网络钓鱼活动中“被抓住”。该超级基金详细说明:“简而言之,这是一次冒充官方信件的恶意电子邮件攻击中的人为错误。这不是重大安全控制漏洞或技术故障的结果。恶意电子邮件导致一名工作人员的密码被泄露。”
Spirit Super表示,尽管部署了多因素身份验证(MFA),但受害者的邮箱仍然受到威胁。“我们有一支技术娴熟的内部团队,专注于网络安全和保护您的信息,”它补充道。“该团队检测到被盗帐户并迅速采取行动遏制和限制违规的影响。没有其他帐户或系统受到影响。”
安全升级
Spirit Super表示正在进行彻底调查,以评估事件的影响,包括审查账户活动和加强对账户的控制。已通知包括隐私专员在内的相关当局,Spirit Super表示正在“立即采取预防措施,进一步加强我们的IT安全并降低未来网络事件的风险”。
Spirit Super 表示,已通知任何受违规影响的人。没有收到信件的用户被认为没有受到影响。“我们没有证据表明您的信息,或者更广泛的会员数据已被故意访问,”Spirit Super 总结道。“我们所知道的是,电子邮件帐户已被盗用,而在该邮箱中,这些数据是可用的。攻击者可能不知道数据集。“