يقال إن شركة الاتصالات الأسترالية العملاقة Optus تتلقى مساعدة من مكتب التحقيقات الفيدرالي في التحقيق فيما يبدو أنه اختراق يمكن منعه بسهولة والذي انتهى بالكشف عن بيانات حساسة لما يقرب من 10 ملايين عميل.
وفي الوقت نفسه، سحب المتسلل أو المتسللون الذين يقفون وراء الاختراق يوم الثلاثاء طلبهم بفدية قدرها مليون دولار إلى جانب التهديد بالإفراج عن مجموعات من البيانات المسروقة حتى يتم دفع الفدية. وادعى ممثل التهديد أيضًا أنه قام بحذف جميع البيانات المسروقة من Optus. ومع ذلك، جاء التغيير الواضح بعد أن أصدر المهاجم في وقت سابق عينة من حوالي 1 سجل عميل، على ما يبدو كدليل على النوايا.
بعد إعادة النظر
لا يزال سبب المهاجم لسحب طلب الفدية والتهديد بتسريب البيانات غير واضحين. ولكن في بيان نُشر على منتدى Dark Web - وأعيد نشره على databreaches.net - ألمح المهاجم المزعوم إلى أن "عددًا كبيرًا جدًا من العيون" يرى أن البيانات هي أحد الأسباب. وجاء في المذكرة: "لن نبيع البيانات لأي شخص". "لا يمكننا ذلك إذا أردنا: البيانات المحذوفة شخصيًا من محرك الأقراص (نسخة فقط)."
واعتذر المهاجم أيضًا لشركة Optus ولعملاء 10,200 الذين تسربت بياناتهم: "لن ترى أستراليا أي مكاسب من الاحتيال، ويمكن مراقبة ذلك. ربما لـ 10,200 أسترالي ولكن بقية السكان لا. آسف جدًا لك."
ومن غير المرجح أن يؤدي الاعتذار وادعاءات المهاجم بحذف البيانات المسروقة إلى تهدئة المخاوف المحيطة بالهجوم، الذي وُصف بأنه أكبر خرق في أستراليا على الإطلاق.
أوبتس تم الكشف عن الانتهاك لأول مرة في 21 سبتمبر، وفي سلسلة من التحديثات منذ ذلك الحين وصفها بأنها تؤثر على العملاء الحاليين والسابقين لعملاء النطاق العريض والهاتف المحمول والعملاء التجاريين للشركة من عام 2017 فصاعدًا. وفقًا للشركة، ربما يكون الاختراق قد أدى إلى كشف أسماء العملاء وتواريخ الميلاد وأرقام الهواتف وعناوين البريد الإلكتروني - بالنسبة لمجموعة فرعية من العملاء - عناوينهم الكاملة أو معلومات رخصة القيادة أو أرقام جواز السفر.
ممارسات الأمن Optus تحت المجهر
وقد أثار هذا الانتهاك مخاوف من انتشار الاحتيال في الهوية على نطاق واسع ودفع Optus - من بين تدابير أخرى - إلى العمل مع حكومات الولايات الأسترالية المختلفة لمناقشة إمكانية تغيير تفاصيل رخصة القيادة للأفراد المتضررين على حساب الشركة. "عندما نتواصل معك، سنضيف رصيدًا إلى حسابك لتغطية أي تكاليف استبدال ذات صلة. سنقوم بذلك تلقائيًا، لذا لا تحتاج إلى الاتصال بنا،" أبلغت Optus العملاء. "إذا لم تسمع منا، فهذا يعني أن رخصة قيادتك لا تحتاج إلى تغيير."
لقد أدى اختراق البيانات إلى تسليط الضوء على ممارسات Optus الأمنية بشكل مباشر خاصة لأنه يبدو أنها نتجت عن خطأ جوهري. هيئة الإذاعة الأسترالية (ABC) في 22 سبتمبر نقلاً عن "شخصية كبيرة" لم تحدد هويتها" داخل Optus قوله إن المهاجم كان قادرًا بشكل أساسي على الوصول إلى قاعدة البيانات عبر واجهة برمجة تطبيقات غير مصادق عليها (API).
يُزعم أن المصدر الداخلي أخبر شبكة ABC أن قاعدة بيانات هوية العميل المباشرة التي وصل إليها المهاجم كانت متصلة عبر واجهة برمجة تطبيقات غير محمية بالإنترنت. كان الافتراض هو أن أنظمة Optus المعتمدة فقط هي التي ستستخدم واجهة برمجة التطبيقات. لكن انتهى الأمر بطريقة ما بالتعرض لشبكة اختبار، والتي تصادف أنها كانت متصلة مباشرة بالإنترنت، حسبما نقلت شبكة ABC عن المصدر المطلع.
وصفت ABC ووسائل إعلام أخرى الرئيس التنفيذي لشركة Optus كيلي باير روزمارين بإصراره على أن الشركة كانت ضحية لهجوم متطور وأن البيانات التي ادعى المهاجم أنه وصل إليها كانت مشفرة.
إذا كان التقرير حول واجهة برمجة التطبيقات المكشوفة صحيحًا، فإن Optus كان ضحية خطأ أمني ارتكبه كثيرون آخرون. يقول آدم فيشر، مهندس الحلول في Salt Security: "تعد مصادقة المستخدم المعطلة إحدى نقاط الضعف الأكثر شيوعًا في واجهة برمجة التطبيقات". "يبحث المهاجمون عنها أولاً لأن واجهات برمجة التطبيقات غير المصادق عليها لا تبذل أي جهد لاختراقها."
ويقول إن واجهات برمجة التطبيقات المفتوحة أو غير المصادق عليها غالبًا ما تكون نتيجة قيام فريق البنية التحتية، أو الفريق الذي يدير المصادقة، بتكوين شيء ما بشكل خاطئ. يقول فيشر: "نظرًا لأن تشغيل التطبيق يتطلب أكثر من فريق واحد، كثيرًا ما يحدث سوء الفهم". ويشير إلى أن واجهات برمجة التطبيقات غير المصادق عليها تحتل المركز الثاني في قائمة OWASP لأفضل 10 ثغرات أمنية لواجهة برمجة التطبيقات.
حدد تقرير بتكليف من Imperva في وقت سابق من هذا العام الشركات الأمريكية على أنها تتكبد بين خسائر بقيمة 12 مليار دولار و23 مليار دولار من التسويات المرتبطة بواجهة برمجة التطبيقات (API). فقط في عام 2022. وجدت دراسة أخرى قائمة على الاستطلاع أجرتها Cloudentity العام الماضي قال 44% من المشاركين أن مؤسساتهم تعرضت لتسرب البيانات وغيرها من المشكلات الناجمة عن ثغرات أمان واجهة برمجة التطبيقات.
مهاجم "مذعور"؟
لم يستجب مكتب التحقيقات الفيدرالي على الفور لطلب Dark Reading للتعليق عبر عنوان البريد الإلكتروني لمكتبه الصحفي الوطني، ولكن وصي
وأبلغ آخرون عن استدعاء وكالة إنفاذ القانون الأمريكية للمساعدة في التحقيق. ال الشرطة الفيدرالية الأستراليةوقالت الشركة، التي تحقق في اختراق Optus، إنها تعمل مع سلطات إنفاذ القانون في الخارج لتعقب الفرد أو المجموعة المسؤولة عن ذلك.
يقول Casey Ellis، المؤسس والرئيس التنفيذي للتكنولوجيا لشركة Bugcrowd لرصد الأخطاء، إن التدقيق المكثف الذي تلقاه الاختراق من الحكومة الأسترالية والجمهور وجهات إنفاذ القانون ربما يكون قد أخاف المهاجم. ويقول: "من النادر جدًا أن يكون هذا النوع من التفاعل مذهلاً مثل هذا التفاعل". "إن تعريض ما يقرب من نصف سكان بلد ما للخطر سيحظى بالكثير من الاهتمام المكثف والقوي للغاية، ومن الواضح أن المهاجمين المتورطين هنا قللوا من أهمية هذا الأمر".
ويشير ردهم إلى أن الجهات التهديدية صغيرة جدًا ومن المحتمل أن تكون جديدة جدًا على السلوك الإجرامي، على هذا النطاق على الأقل.
ويضيف فيشر: "من الواضح أن الحكومة الأسترالية أخذت هذا الاختراق على محمل الجد وتلاحق المهاجم بشراسة". "ربما يكون هذا الرد القوي قد فاجأ المهاجم"، وربما دفعه إلى إعادة التفكير. "ومع ذلك، لسوء الحظ، فإن البيانات متاحة بالفعل للعلن. وبمجرد أن تجد شركة ما نفسها في أخبار كهذه، فإن كل متسلل ينتبه لذلك".
