এফবিআই অস্ট্রেলিয়ান কর্তৃপক্ষকে ব্যাপক অপটাস ডেটা লঙ্ঘন তদন্তে সহায়তা করছে: প্রতিবেদন

অস্ট্রেলিয়ান টেলিকমিউনিকেশন জায়ান্ট অপটাস প্রায় 10 মিলিয়ন গ্রাহকের সংবেদনশীল তথ্য প্রকাশ করে এমন একটি সহজে প্রতিরোধযোগ্য লঙ্ঘন বলে মনে হচ্ছে তা তদন্তে এফবিআই থেকে সহায়তা পাচ্ছে বলে জানা গেছে।

এদিকে, মঙ্গলবার লঙ্ঘনের পিছনে আপাত হ্যাকার বা হ্যাকাররা মুক্তিপণ পরিশোধ না করা পর্যন্ত চুরি করা ডেটার ব্যাচগুলি ছেড়ে দেওয়ার হুমকি সহ $1 মিলিয়ন মুক্তিপণের দাবি প্রত্যাহার করে নিয়েছে। হুমকি অভিনেতা আরও দাবি করেছেন যে তিনি অপটাস থেকে চুরি করা সমস্ত ডেটা মুছে ফেলেছেন। হৃদয়ের আপাত পরিবর্তন, যদিও, আক্রমণকারী ইতিমধ্যেই প্রায় 10,200 গ্রাহক রেকর্ডের একটি নমুনা প্রকাশ করার পরে, আপাতদৃষ্টিতে অভিপ্রায়ের প্রমাণ হিসাবে।

দ্বিতীয় চিন্তা

হামলাকারীর মুক্তিপণ দাবি প্রত্যাহার করার কারণ এবং তথ্য ফাঁসের হুমকি অস্পষ্ট রয়ে গেছে। কিন্তু একটি ডার্ক ওয়েব ফোরামে পোস্ট করা একটি বিবৃতিতে - এবং databreaches.net এ পুনরায় পোস্ট করা হয়েছে — অভিযুক্ত আক্রমণকারী ডেটাকে একটি কারণ হিসাবে দেখে "অনেক চোখ" বলে ইঙ্গিত করেছিল। "আমরা কারও কাছে ডেটা বিক্রি করব না," নোটে লেখা ছিল। "আমরা চাইলেও পারি না: ব্যক্তিগতভাবে ড্রাইভ থেকে ডেটা মুছে ফেলা হয়েছে (শুধু কপি)।" 

আক্রমণকারী অপটাস এবং 10,200 গ্রাহকদের কাছে ক্ষমা চেয়েছিল যাদের ডেটা ফাঁস হয়েছে: “অস্ট্রেলিয়া জালিয়াতিতে কোনও লাভ দেখতে পাবে না, এটি পর্যবেক্ষণ করা যেতে পারে। হতে পারে 10,200 অস্ট্রেলিয়ানদের জন্য কিন্তু বাকি জনসংখ্যা নং। আপনার জন্য খুব দুঃখিত।"

ক্ষমা চাওয়া এবং চুরি করা ডেটা মুছে ফেলার আক্রমণকারীর দাবি আক্রমণের আশেপাশের উদ্বেগগুলিকে প্রশমিত করার সম্ভাবনা কম, যা অস্ট্রেলিয়ার সর্বকালের বৃহত্তম লঙ্ঘন হিসাবে বর্ণনা করা হয়েছে।

অপটাস কৃত্রিম প্রথম 21 সেপ্টেম্বর লঙ্ঘন প্রকাশ, এবং তারপর থেকে আপডেটের একটি সিরিজে এটিকে 2017 থেকে কোম্পানির ব্রডব্যান্ড, মোবাইল এবং ব্যবসায়িক গ্রাহকদের বর্তমান এবং পূর্ববর্তী গ্রাহকদের প্রভাবিত করে বলে বর্ণনা করেছে। কোম্পানির মতে, লঙ্ঘনের ফলে গ্রাহকের নাম, জন্মতারিখ, ফোন নম্বর, ইমেল ঠিকানা এবং — গ্রাহকদের একটি উপসেটের জন্য — তাদের সম্পূর্ণ ঠিকানা, ড্রাইভিং লাইসেন্সের তথ্য, বা পাসপোর্ট নম্বরগুলি সম্ভাব্যভাবে প্রকাশিত হতে পারে৷

মাইক্রোস্কোপের অধীনে অপটাস নিরাপত্তা অনুশীলন

এই লঙ্ঘনটি ব্যাপক পরিচিতি জালিয়াতির উদ্বেগকে উদ্বেলিত করেছে এবং অপটাসকে — অন্যান্য পদক্ষেপের মধ্যে — কোম্পানির খরচে প্রভাবিত ব্যক্তিদের ড্রাইভারের লাইসেন্সের বিবরণ পরিবর্তন করার সম্ভাব্যতা নিয়ে আলোচনা করার জন্য অস্ট্রেলিয়ার বিভিন্ন রাজ্য সরকারের সাথে কাজ করার জন্য ঠেলে দিয়েছে৷ “যখন আমরা যোগাযোগ করি, আমরা আপনার অ্যাকাউন্টে একটি ক্রেডিট রাখব যাতে কোন প্রাসঙ্গিক প্রতিস্থাপন খরচ কভার করা যায়। আমরা স্বয়ংক্রিয়ভাবে এটি করব, তাই আপনাকে আমাদের সাথে যোগাযোগ করতে হবে না,” Optus গ্রাহকদের জানান। "আপনি যদি আমাদের কাছ থেকে শুনতে না পান তবে এর মানে হল যে আপনার ড্রাইভারের লাইসেন্স পরিবর্তন করার দরকার নেই।"

ডেটা আপস অপটাস সুরক্ষা অনুশীলনগুলিকে স্পটলাইটের নীচে রেখেছে বিশেষত কারণ এটি একটি মৌলিক ত্রুটির ফলে হয়েছে বলে মনে হচ্ছে। 22 সেপ্টেম্বর অস্ট্রেলিয়ান ব্রডকাস্টিং কর্পোরেশন (ABC) একটি অজ্ঞাত "সিনিয়র ব্যক্তিত্ব উদ্ধৃত” Optus এর ভিতরে বলেছে যে আক্রমণকারী মূলত একটি অননুমোদিত অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেসের (API) মাধ্যমে ডাটাবেস অ্যাক্সেস করতে সক্ষম হয়েছিল। 

অভ্যন্তরীণ ব্যক্তি কথিতভাবে এবিসিকে বলেছেন যে আক্রমণকারী যে লাইভ গ্রাহক পরিচয় ডেটাবেসটি অ্যাক্সেস করেছিল সেটি ইন্টারনেটের সাথে একটি অরক্ষিত API এর মাধ্যমে সংযুক্ত ছিল। অনুমানটি ছিল যে শুধুমাত্র অনুমোদিত অপটাস সিস্টেমগুলি API ব্যবহার করবে। তবে এটি কোনওভাবে একটি পরীক্ষামূলক নেটওয়ার্কের সংস্পর্শে আসে, যা ইন্টারনেটের সাথে সরাসরি সংযুক্ত ছিল, এবিসি অভ্যন্তরীণ ব্যক্তিকে উদ্ধৃত করে বলেছে।

এবিসি এবং অন্যান্য মিডিয়া আউটলেটগুলি অপটাসের সিইও কেলি বেয়ার রোজমারিনকে বলেছে যে সংস্থাটি একটি পরিশীলিত আক্রমণের শিকার ছিল এবং আক্রমণকারী যে ডেটা অ্যাক্সেস করেছে বলে দাবি করেছিল তা এনক্রিপ্ট করা হয়েছিল।

যদি উন্মুক্ত API সম্পর্কে প্রতিবেদনটি সত্য হয়, Optus একটি নিরাপত্তা ভুলের শিকার ছিল যা অন্য অনেকে করে। সল্ট সিকিউরিটির সমাধান স্থপতি অ্যাডাম ফিশার বলেছেন, "ব্রোকেন ইউজার অথেন্টিকেশন হল সবচেয়ে সাধারণ API দুর্বলতাগুলির মধ্যে একটি।" "আক্রমণকারীরা প্রথমে তাদের সন্ধান করে কারণ অপ্রমাণিত APIগুলি লঙ্ঘনের জন্য কোন প্রচেষ্টা নেয় না।"

খোলা বা অননুমোদিত APIগুলি প্রায়শই পরিকাঠামো দলের ফলাফল, বা যে দল প্রমাণীকরণ পরিচালনা করে, কিছু ভুল কনফিগার করে, তিনি বলেছেন। "যেহেতু একটি অ্যাপ্লিকেশন চালানোর জন্য একাধিক দল লাগে, প্রায়শই ভুল যোগাযোগ ঘটে," ফিশার বলেছেন। তিনি উল্লেখ করেছেন যে অননুমোদিত APIগুলি OWASP-এর শীর্ষ 10 API সুরক্ষা দুর্বলতার তালিকায় দ্বিতীয় স্থান দখল করে।

এই বছরের শুরুর দিকে একটি ইমপারভা-কমিশন রিপোর্ট মার্কিন ব্যবসার মধ্যে খরচ হিসাবে চিহ্নিত API-সংযুক্ত আপস থেকে $12 বিলিয়ন এবং $23 বিলিয়ন লোকসান ঠিক 2022 সালে। ক্লাউডেন্টটিটি গত বছর পরিচালিত আরেকটি সমীক্ষা-ভিত্তিক গবেষণায় পাওয়া গেছে 44% উত্তরদাতারা বলছেন যে তাদের সংস্থার ডেটা ফাঁসের অভিজ্ঞতা হয়েছে এবং অন্যান্য সমস্যা যা এপিআই নিরাপত্তা ত্রুটি থেকে উদ্ভূত হয়।

"ভয়প্রাপ্ত" আক্রমণকারী?

এফবিআই তার জাতীয় প্রেস অফিসের ইমেল ঠিকানার মাধ্যমে মন্তব্যের জন্য ডার্ক রিডিং অনুরোধের সাথে সাথে সাড়া দেয়নি, তবে অভিভাবক
এবং অন্যরা রিপোর্ট করেছে যে মার্কিন আইন প্রয়োগকারী সংস্থাকে তদন্তে সহায়তা করার জন্য ডাকা হয়েছে৷ দ্য অস্ট্রেলিয়ান ফেডারাল পুলিশ, যা অপটাস লঙ্ঘনের তদন্ত করছে, বলেছে যে এটির জন্য দায়ী ব্যক্তি বা গোষ্ঠীকে ট্র্যাক করতে বিদেশী আইন প্রয়োগকারী সংস্থার সাথে কাজ করছে।

বাগ বাউন্টি ফার্ম Bugcrowd-এর প্রতিষ্ঠাতা এবং CTO কেসি এলিস বলেছেন যে অস্ট্রেলিয়ান সরকার, জনসাধারণ এবং আইন প্রয়োগকারী সংস্থার কাছ থেকে লঙ্ঘনের তীব্র তদন্ত আক্রমণকারীকে ভয় দেখাতে পারে। "এই ধরনের মিথস্ক্রিয়া এর মতো দর্শনীয় হওয়ার মতো এটি মোটামুটি বিরল," তিনি বলেছেন। "একটি দেশের প্রায় অর্ধেক জনসংখ্যার সাথে আপস করা অনেক তীব্র এবং খুব শক্তিশালী মনোযোগ অর্জন করতে চলেছে এবং এখানে জড়িত আক্রমণকারীরা এটিকে স্পষ্টভাবে অবমূল্যায়ন করেছে।" 

তাদের প্রতিক্রিয়া পরামর্শ দেয় যে হুমকি অভিনেতারা খুব অল্পবয়সী এবং সম্ভবত অপরাধমূলক আচরণের ক্ষেত্রে খুব নতুন, অন্তত এই মাত্রার, তিনি নোট করেছেন।

"স্পষ্টতই, অস্ট্রেলিয়ান সরকার এই লঙ্ঘনটিকে খুব গুরুত্ব সহকারে নিয়েছে এবং আক্রমণকারীকে উদাসীনভাবে অনুসরণ করছে," ফিশার যোগ করেছেন। "এই দৃঢ় প্রতিক্রিয়া আক্রমণকারীকে পাহারা দিতে পারে," এবং সম্ভবত দ্বিতীয় চিন্তার উদ্রেক করেছিল। “তবে, দুর্ভাগ্যবশত, ডেটা ইতিমধ্যেই খোলা আছে। একবার একটি কোম্পানি নিজেকে এই ধরনের সংবাদে খুঁজে পেলে, প্রতিটি হ্যাকার মনোযোগ দেয়।"