L'utilisation des données «peut ne pas répondre aux normes de ce que la plupart des gens attendent pour la façon dont les données sont collectées et comment elles sont utilisées», explique O'Shea.
Il n'y a pas de «licence sociale pour les entreprises de collecter d'énormes quantités de données», d'autant plus que les sondages montrent que le public continue de montrer une préférence pour des protections de données plus fortes, dit-elle.
Optus était la cible d'un recours collectif après une violation de données client.Crédit: Eddie Jim
«Pour cette raison, ces types de violations de données sont extrêmement éclairantes pour le public. Ils agissent comme une paratonnerre pour les frustrations des consommateurs, qui sont généralement accompagnées d'un appel aux gouvernements pour adopter des lois sur la confidentialité plus fortes.»
Il est entendu qu'à la suite des hacks de haut niveau et dommageables de Medibank Private et Optus en 2022, Qantas a purgé les anciens données clients.
Le Dr Aashish Srivastava du Département de la faculté de commerce de Monash a déclaré: «En vertu de la loi sur la vie privée, s'il y a une violation de données et que le client se plaint au bureau du commissaire australien de l'information, et après une enquête, l'OAIC conclut qu'il y a eu des violations de confidentialité par Qantas, dans le cadre de ce résultat de l'OAIC.
En vertu de la loi sur la vie privée, le chien de garde peut imposer une gamme de pénalités civiles, contre un maximum de 2,5 millions de dollars pour un individu et jusqu'à 50 millions de dollars pour une entreprise. Optus et Medibank ont été la cible des recours collectifs après leurs pertes préjudiciables de données client lors de hacks séparés. Le chien de garde de la vie privée a également intenté une action civile contre Medibank.
Le chien de garde a effectué un examen de routine de la gestion des données des fidélisation de Qantas en 2017, constatant que, bien que toutes les «informations personnelles soient stockées en Australie, Qantas Frequent Flyer utilise plusieurs centres de service à la clientèle offshore».
À l'époque, Qantas a effectué des «vérifications des antécédents du personnel du contrat à l'étranger» et a mis des dispositions dans les contrats des employés «liés à la gestion des informations personnelles», a déclaré l'OAIC.
Le chien de garde en 2019 a recommandé dans l'évaluation que le programme de dépliants fréquents de Qantas «développe et met en œuvre un plan de gestion de la vie privée qui définit des buts et objectifs spécifiques pour sa gestion de la vie privée en tenant compte des problèmes spécifiques qui s'appliquent à ses opérations».
Le régime de violations de données à notifier oblige les entreprises à informer le bureau du commissaire australien de l'information et des clients «à risque de préjudice grave de… une violation de données».
L'expert en cybersécurité Lani Refiti, de la société de sécurité nationale Azcende, a déclaré que si une rançon était demandée à ce stade, l'équipe de cyber-intervention de Qantas et dirigée par Qantas devraient être en discussion avec les assaillants.
« Aucune violation de cette taille n'est juste pour les rires », a déclaré Refiti, dont la société fournit également des services de conseil en matière de conformité en cybersécurité.
«Les attaquants devraient chercher à le monétiser d'une manière ou d'une autre.»
Sporsed Spider a déjà frappé Hawaiian Airlines et Westjet du Canada cette année.
Malgré les règles obligatoires des ransomwares et de la cyber norme en mai 2025, il n'est pas clair qu'une tentative de rançon a suivi la perte de données de Qantas.
Le vice-président de la société de cybersécurité Darktrace, Tony Jarvis, a déclaré: «Il est notoirement difficile de confirmer si et où les informations se retrouvent sur le Web sombre.
«Le groupe qui vole les données n'est souvent pas le groupe qui la mone directement – et la surveillance du Web sombre n'attrape que des choses qui sont vendues sur le marché libre, essentiellement commercialisées pour quiconque ayant accès au forum à acheter.
« Cela signifie que s'il y a déjà un acheteur approuvé ou un réseau fermé, il n'apparaîtra pas sur le Web Dark », a-t-il déclaré.