أثار التدخل الإلكتروني الأسبوع الماضي في شركة الاتصالات الأسترالية Optus ، التي لديها حوالي 10 ملايين عميل ، غضب حكومة البلاد بشأن كيفية تعامل الشركة المخترقة مع تفاصيل الهوية المسروقة.
Darkweb لقطات ظهرت بسرعة بعد الهجوم ، مع وجود تحت الأرض خرق المنتديات مستخدم ينتقل باسم optusdata تقديم شريحتين من البيانات ، بدعوى وجود قاعدتي بيانات على النحو التالي:
11,200,000،4,232,652،3,664,598 سجل مستخدم بالاسم وتاريخ الميلاد ورقم الهاتف المحمول وسجلات الهوية 10,000,000 تتضمن نوعًا من رقم مستند الهوية 3,817,197،3,238,014،XNUMX من المعرفات كانت من رخص القيادة XNUMX سجل عناوين مع البريد الإلكتروني وتاريخ الميلاد والمعرف وأكثر من XNUMX،XNUMX،XNUMX لديه أرقام مستندات الهوية XNUMX،XNUMX من المعرفات كانت من رخص القيادة
كتب البائع ، “Optus إذا كنت تقرأ! السعر بالنسبة لنا لعدم بيع بيانات [كذا] هو 1,000,000،1،XNUMX دولار أمريكي! نمنحك أسبوعًا لاتخاذ القرار ".
قال البائع إن المشترين المنتظمين يمكن أن يكون لديهم قواعد بيانات بمبلغ 300,000 ألف دولار كقطعة عمل ، إذا لم تقبل Optus عرض "الوصول الحصري" الذي تبلغ قيمته مليون دولار خلال الأسبوع.
قال البائع إنهم يتوقعون الدفع في شكل Monero ، وهي عملة مشفرة مشهورة يصعب تتبعها من Bitcoin.
معاملات مونيرو هي مخلوط معا كجزء من بروتوكول الدفع ، مما يجعل نظام Monero البيئي في نوع من بهلوان cryptocoin أو مجهول في حد ذاته.
ماذا حدث؟
يبدو أن خرق البيانات نفسه يرجع إلى فقدان الأمان لما يُعرف في المصطلحات باسم نقطة نهاية API. (API اختصار لـ واجهة برمجة تطبيق، طريقة محددة مسبقًا لجزء واحد من التطبيق ، أو مجموعة من التطبيقات ، لطلب نوع من الخدمة ، أو لاسترداد البيانات من جزء آخر.)
على الويب ، تأخذ نقاط نهاية واجهة برمجة التطبيقات عادةً شكل عناوين URL الخاصة التي تؤدي إلى سلوك معين ، أو إرجاع البيانات المطلوبة ، بدلاً من مجرد عرض صفحة ويب.
على سبيل المثال ، عنوان URL مثل https://www.example.com/about يمكن ببساطة تغذية صفحة ويب ثابتة في نموذج HTML ، مثل:
About this site
This site is just an example, as the URL implies.
وبالتالي ، فإن زيارة عنوان URL باستخدام متصفح يؤدي إلى ظهور صفحة ويب تبدو بالشكل الذي تتوقعه:
لكن عنوان URL مثل https://api.example.com/userdata?id=23de6731e9a7 قد تعيد سجل قاعدة بيانات خاص بالمستخدم المحدد ، كما لو كنت قد أجريت استدعاء دالة في برنامج C على غرار:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
بافتراض وجود معرف المستخدم المطلوب في قاعدة البيانات ، فإن استدعاء الوظيفة المكافئة عبر طلب HTTP لنقطة النهاية قد ينتج عنه رد بتنسيق JSON ، مثل هذا:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
في واجهة برمجة تطبيقات من هذا النوع ، من المحتمل أن تتوقع وجود العديد من احتياطات الأمن السيبراني ، مثل:
- المصادقة. قد يحتاج كل طلب ويب إلى تضمين رأس HTTP يحدد ملف تعريف ارتباط جلسة عشوائي (غير قابل للتخمين) تم إصداره لمستخدم أثبت هويته مؤخرًا ، على سبيل المثال باستخدام اسم مستخدم وكلمة مرور ورمز 2FA. يعمل هذا النوع من ملفات تعريف الارتباط للجلسة ، والذي يكون صالحًا عادةً لفترة محدودة فقط ، بمثابة تصريح وصول مؤقت لطلبات البحث التي يتم إجراؤها لاحقًا بواسطة المستخدم المصدق مسبقًا. وبالتالي يمكن رفض طلبات واجهة برمجة التطبيقات من مستخدمين غير مصادقين أو غير معروفين على الفور.
- القيود المفروضة على الوصول. بالنسبة لعمليات البحث في قاعدة البيانات التي قد تسترد بيانات التعريف الشخصية (PII) مثل أرقام المعرفات أو عناوين المنزل أو تفاصيل بطاقة الدفع ، قد يفرض الخادم الذي يقبل طلبات نقطة نهاية واجهة برمجة التطبيقات حماية على مستوى الشبكة لتصفية الطلبات الواردة مباشرة من الإنترنت. لذلك سيحتاج المهاجم إلى اختراق خادم داخلي أولاً ، ولن يكون قادرًا على البحث عن البيانات مباشرة عبر الإنترنت.
- معرفات قاعدة البيانات التي يصعب تخمينها. بالرغم ان الأمن من خلال الغموض (يُعرف أيضًا باسم "لن يخمنوا ذلك أبدًا") أساس ضعيف للأمن السيبراني ، ولا فائدة من تسهيل الأمور أكثر مما يجب على المحتالين. إذا كان معرف المستخدم الخاص بك هو
00000145، وأنت تعلم أن الصديق الذي سجل بعد حصولك مباشرة00000148، فمن التخمين الجيد أن قيم معرف المستخدم الصالحة تبدأ من00000001واصعد من هناك. تجعل القيم التي يتم إنشاؤها عشوائيًا من الصعب على المهاجمين الذين وجدوا بالفعل ثغرة في التحكم في الوصول لتشغيل حلقة تحاول مرارًا وتكرارًا استرداد المستخدمين المحتملين. - تحديد معدل. يمكن استخدام أي تسلسل متكرر لطلبات مماثلة aa IoC محتمل ، أو مؤشر التسوية. لا يستخدم مجرمو الإنترنت الذين يرغبون في تنزيل 11,000,000 عنصر قاعدة بيانات بشكل عام جهاز كمبيوتر واحدًا برقم IP واحد للقيام بالمهمة بأكملها ، لذا فإن هجمات التنزيل الجماعي لا تظهر دائمًا على الفور فقط من تدفقات الشبكة التقليدية. لكنهم غالبًا ما ينشئون أنماطًا ومعدلات من النشاط لا تتطابق ببساطة مع ما تتوقع رؤيته في الحياة الواقعية.
على ما يبدو ، كان القليل من هذه الحماية أو لم يكن هناك أي من هذه الحماية أثناء هجوم Optus ، ولا سيما بما في ذلك الأول ...
... مما يعني أن المهاجم كان قادرًا على الوصول إلى معلومات تحديد الهوية الشخصية دون الحاجة إلى تعريف نفسه على الإطلاق ، ناهيك عن سرقة رمز تسجيل دخول مستخدم شرعي أو ملف تعريف ارتباط مصادقة للدخول.
بطريقة ما ، على ما يبدو ، تم فتح نقطة نهاية واجهة برمجة التطبيقات مع إمكانية الوصول إلى البيانات الحساسة على الإنترنت بشكل عام ، حيث تم اكتشافها من قبل مجرم إلكتروني وتم إساءة استخدامها لاستخراج المعلومات التي كان ينبغي أن تكون وراء نوع من بوابة الأمن السيبراني.
أيضًا ، إذا تم تصديق ادعاء المهاجم بأنه استعاد إجمالي أكثر من 20,000,000 سجل قاعدة بيانات من قاعدتي بيانات ، فإننا نفترض [أ] أن Optus userid تم حساب الرموز أو تخمينها بسهولة ، و [ب] أنه لا توجد تحذيرات تفيد بأن "الوصول إلى قاعدة البيانات قد وصل إلى مستويات غير عادية".
لسوء الحظ ، لم يكن Optus واضحًا بشكل رهيب بشأن كيفية عمل تم الكشف عن الهجومقائلا فقط:
س: كيف حدث هذا؟
كان A. Optus ضحية لهجوم إلكتروني. [...]
س: هل تم ايقاف الهجوم؟
ج: نعم. عند اكتشاف ذلك ، قام Optus بإغلاق الهجوم على الفور.
بعبارة أخرى ، يبدو كما لو أن "إيقاف الهجوم" تضمن سد الثغرة ضد مزيد من التطفل (على سبيل المثال عن طريق منع الوصول إلى نقطة نهاية واجهة برمجة التطبيقات غير المصادق عليها) بدلاً من اعتراض الهجوم الأولي مبكرًا بعد سرقة عدد محدود فقط من السجلات .
نشك في أنه إذا اكتشفت Optus الهجوم بينما كان لا يزال جاريًا ، لكانت الشركة ستوضح في الأسئلة الشائعة إلى أي مدى وصل المحتالون قبل إغلاق وصولهم.
ماذا بعد؟
ماذا عن العملاء الذين تم الكشف عن أرقام جوازات سفرهم أو رخصة القيادة؟
ما مقدار الخطر الذي يشكله تسريب رقم مستند الهوية ، بدلاً من التفاصيل الكاملة للمستند نفسه (مثل مسح ضوئي عالي الدقة أو نسخة معتمدة) ، على ضحية خرق بيانات مثل هذا؟
ما مقدار قيمة التعريف التي يجب أن نعطيها لأرقام الهوية وحدها ، بالنظر إلى مدى اتساع وتكرار مشاركتها هذه الأيام؟
وفقًا للحكومة الأسترالية ، فإن الخطر كبير بما يكفي بحيث يُنصح ضحايا الانتهاك باستبدال المستندات المتضررة.
ومع احتمال وجود ملايين المستخدمين المتأثرين ، يمكن أن تصل رسوم تجديد الوثيقة وحدها إلى مئات الملايين من الدولارات ، وتتطلب إلغاء وإعادة إصدار نسبة كبيرة من رخص القيادة في البلاد.
نقدر أن حوالي 16 مليون أسترالي لديهم تراخيص ، ونميل إلى استخدامها كبطاقات هوية داخل أستراليا بدلاً من حمل جوازات سفرهم. لذا ، إذا كان optusdata كان ملصق BreachForum يقول الحقيقة ، وسُرق ما يقرب من 4 ملايين رقم ترخيص ، وقد يحتاج ما يقرب من 25٪ من جميع التراخيص الأسترالية إلى استبدالها. لا نعرف مدى فائدة ذلك في حالة رخص القيادة الأسترالية ، التي تصدرها ولايات وأقاليم فردية. في المملكة المتحدة ، على سبيل المثال ، من الواضح تمامًا أن رقم رخصة القيادة الخاصة بك مشتق بطريقة حسابية من اسمك وتاريخ ميلادك ، مع قدر متواضع جدًا من الخلط وإدخال عدد قليل من الأحرف العشوائية. وبالتالي يحصل الترخيص الجديد على رقم جديد مشابه جدًا للرقم السابق.
أولئك الذين ليس لديهم تراخيص ، أو الزوار الذين اشتروا بطاقات SIM من Optus على أساس جواز سفر أجنبي ، سيحتاجون إلى استبدال جوازات سفرهم بدلاً من ذلك - تكلفة استبدال جواز السفر الأسترالي قريبة من 193 دولارًا أستراليًا ، وجواز السفر البريطاني من 75 إلى 85 جنيهًا إسترلينيًا ، و تجديد الولايات المتحدة هو 130 دولارًا أمريكيًا إلى 160 دولارًا أمريكيًا.
(هناك أيضًا مسألة أوقات الانتظار: تنصح أستراليا حاليًا بأن جواز السفر البديل سيستغرق 6 أسابيع على الأقل [2022-09-28T13: 50Z] ، وذلك بدون زيادة مفاجئة بسبب المعالجة المتعلقة بالخرق ؛ في المملكة المتحدة ، بسبب المتراكمة الحالية ، فإن حكومة جلالة الملك تخبر المتقدمين في الوقت الحالي بالسماح لمدة 10 أسابيع لتجديد جواز السفر.)
من الذي يتحمل التكلفة؟
بالطبع ، إذا كان استبدال جميع المعرفات التي يُحتمل تعرضها للاختراق أمرًا ضروريًا ، فإن السؤال الملح هو ، "من سيدفع؟"
وفقًا لرئيس الوزراء الأسترالي ، أنتوني ألبانيز ، ليس هناك شك من أين يجب أن تأتي الأموال لاستبدال جوازات السفر:
بعد ظهر اليوم تضمين التغريدة أعطى البرلمان تحديثًا مهمًا بشأن خرق Optus الأمني.
لا نطالب Optus فقط بالدفع مقابل جوازات السفر البديلة للمتضررين من الانتهاك ، ولكننا ملتزمون أيضًا بتعزيز قوانين الخصوصية لدينا من خلال مراجعة قانون الخصوصية. pic.twitter.com/JyoRJxyM3p
- كلير أونيل MP (ClareONeilMP) 28 سبتمبر 2022
لا توجد كلمة من الهيئة التشريعية الفيدرالية حول استبدال رخص القيادة ، فهذه مسألة تتولاها حكومات الولايات والأقاليم ...
... ولا توجد أي كلمة حول ما إذا كان "استبدال جميع المستندات" سيصبح رد فعل روتيني كلما تم الإبلاغ عن خرق يتعلق بوثيقة الهوية ، وهو أمر يمكن أن يغرق بسهولة في الخدمة العامة ، بالنظر إلى أنه من المتوقع عادةً أن تستمر التراخيص وجوازات السفر لمدة 10 سنوات.
شاهد هذه المساحة - يبدو هذا جاهزًا ليكون ممتعًا!
- سلسلة كتلة
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- البيانات الاختراق
- فقدان البيانات
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- NexBLOC
- أوبتس
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- خصوصية
- VPN
- أمن الانترنت
- زفيرنت
![S3 Ep113: Pwning the Windows kernel - المحتالون الذين خدعوا Microsoft [Audio + Text] PlatoBlockchain Data Intelligence. البحث العمودي. منظمة العفو الدولية.](https://platoblockchain.com/wp-content/uploads/2022/12/s3-ep113-1200-360x188.png "S3 Ep113: Pwning the Windows kernel - المحتالون الذين خدعوا Microsoft [صوت + نص]")
![الموسم 3 الحلقة 107: ثمانية أشهر لطرد المحتالين وتعتقد أن هذا أمر جيد؟ [صوت + نص] ذكاء بيانات PlatoBlockchain. البحث العمودي. منظمة العفو الدولية.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "الموسم 3 الحلقة 107: ثمانية أشهر لطرد المحتالين وتعتقد أن هذا جيد؟ [صوت + نص]")
![S3 Ep130: افتح أبواب حجرة المرآب ، HAL [صوت + نص]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep130-open-the-garage-bay-doors-hal-audio-text-300x157.png "S3 Ep130: افتح أبواب حجرة المرآب ، HAL [صوت + نص]")
![الموسم 3 الحلقة 122: توقف عن وصف كل خرق بأنه "متطور"! [صوت + نص]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep122-stop-calling-every-breach-sophisticated-audio-text-300x145.png "الموسم 3 الحلقة 122: توقف عن وصف كل خرق بأنه \"متطور\"! [صوت + نص]")
