Optus লঙ্ঘন - অসি টেলকো বলেছে যে এটি আইডিগুলি প্লেটোব্লকচেন ডেটা ইন্টেলিজেন্স প্রতিস্থাপন করতে অর্থ প্রদান করতে হবে৷ উল্লম্ব অনুসন্ধান. আ.

Optus লঙ্ঘন - অসি টেলকো বলেছে যে এটি আইডি প্রতিস্থাপন করতে অর্থ প্রদান করতে হবে

সময় স্ট্যাম্প: 28 সেপ্টেম্বর, 2022 9:55 পূর্বাহ্ন

by
পল ডকলিন

অস্ট্রেলিয়ান টেলকো অপটাসে গত সপ্তাহে সাইবার অনুপ্রবেশ, যার প্রায় 10 মিলিয়ন গ্রাহক রয়েছে, কীভাবে লঙ্ঘনকারী সংস্থার চুরি হওয়া আইডির বিবরণের সাথে মোকাবিলা করা উচিত তা নিয়ে দেশটির সরকারকে ক্ষোভ প্রকাশ করেছে।

ডার্কওয়েব স্ক্রিনশট একটি ভূগর্ভস্থ সঙ্গে, আক্রমণের পরে দ্রুত প্রদর্শিত লঙ্ঘন ফোরাম ব্যবহারকারী সরল-ভাষী নামের দ্বারা যাচ্ছেন optusdata তথ্যের দুটি শাখা অফার করে, অভিযোগ করে যে তাদের দুটি ডাটাবেস নিম্নরূপ ছিল:

  নাম, জন্ম তারিখ, মোবাইল নম্বর এবং আইডি সহ 11,200,000 ব্যবহারকারীর রেকর্ড
   4,232,652 রেকর্ডে কিছু ধরণের আইডি নথি নম্বর অন্তর্ভুক্ত রয়েছে
   3,664,598টি আইডি ছিল ড্রাইভিং লাইসেন্স থেকে

  ইমেল, জন্ম তারিখ, আইডি এবং আরও অনেক কিছু সহ 10,000,000 ঠিকানা রেকর্ড
   3,817,197 আইডি ডকুমেন্ট নম্বর ছিল
   3,238,014 আইডি ড্রাইভিং লাইসেন্স থেকে ছিল

বিক্রেতা লিখেছেন, “আপনি যদি পড়ছেন! [sic] ডেটা বিক্রি না করার জন্য আমাদের মূল্য হল $1,000,000 US! আমরা আপনাকে সিদ্ধান্ত নিতে 1 সপ্তাহ সময় দিচ্ছি।"

নিয়মিত ক্রেতারা, বিক্রেতা বলেছেন, যদি Optus সপ্তাহের মধ্যে তার $300,000m "এক্সক্লুসিভ অ্যাক্সেস" অফারটি গ্রহণ না করে তবে চাকরির লট হিসাবে $1 এর ডাটাবেস থাকতে পারে।

বিক্রেতা বলেছেন যে তারা Monero আকারে অর্থপ্রদানের আশা করছেন, একটি জনপ্রিয় ক্রিপ্টোকারেন্সি যা বিটকয়েনের চেয়ে খুঁজে পাওয়া কঠিন।

মনের লেনদেন হয় একসাথে মিশ্রিত পেমেন্ট প্রোটোকলের অংশ হিসাবে, Monero ইকোসিস্টেমকে নিজের অধিকারে এক ধরণের ক্রিপ্টোকয়েন টাম্বলার বা বেনামীতে পরিণত করে।

কি হলো?

তথ্য লঙ্ঘন নিজেই দৃশ্যত নিরাপত্তা অনুপস্থিত ছিল যা একটি হিসাবে পরিভাষায় পরিচিত এপিআই শেষ পয়েন্ট. (এপিআই এর জন্য সংক্ষিপ্ত আবেদন কার্যক্রম ইন্টারফেস, একটি অ্যাপের একটি অংশের জন্য একটি পূর্বনির্ধারিত উপায়, বা অ্যাপের সংগ্রহ, কিছু ধরণের পরিষেবার অনুরোধ করার জন্য, বা অন্য থেকে ডেটা পুনরুদ্ধার করার জন্য।)

ওয়েবে, এপিআই এন্ডপয়েন্টগুলি সাধারণত বিশেষ ইউআরএলের আকার ধারণ করে যা নির্দিষ্ট আচরণকে ট্রিগার করে বা শুধুমাত্র একটি ওয়েব পৃষ্ঠা পরিবেশন করার পরিবর্তে অনুরোধ করা ডেটা ফেরত দেয়।

উদাহরণস্বরূপ, একটি URL এর মত https://www.example.com/about HTML আকারে একটি স্ট্যাটিক ওয়েব পেজ ফিড ব্যাক করতে পারে, যেমন:

  
    
       
About this site

       
This site is just an example, as the URL implies.

একটি ব্রাউজার দিয়ে URL পরিদর্শন করার ফলে একটি ওয়েব পৃষ্ঠা তৈরি হবে যা আপনার প্রত্যাশা অনুযায়ী দেখাবে:

কিন্তু একটি URL যেমন https://api.example.com/userdata?id=23de­6731­e9a7 নির্দিষ্ট ব্যবহারকারীর কাছে নির্দিষ্ট একটি ডাটাবেস রেকর্ড ফেরত দিতে পারে, যেন আপনি একটি সি প্রোগ্রামে একটি ফাংশন কল করেছেন এর লাইন বরাবর:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

অনুমান করা হয়েছে যে অনুরোধ করা ব্যবহারকারী আইডি ডাটাবেসে বিদ্যমান ছিল, একটি HTTP অনুরোধের মাধ্যমে সমতুল্য ফাংশনকে শেষ পয়েন্টে কল করলে JSON ফর্ম্যাটে একটি উত্তর তৈরি হতে পারে, যেমন: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

এই ধরণের একটি এপিআই-এ, আপনি সম্ভবত বেশ কয়েকটি সাইবার নিরাপত্তা সতর্কতা আশা করবেন, যেমন:

  • প্রমাণীকরণ। প্রতিটি ওয়েব অনুরোধে একটি HTTP শিরোনাম অন্তর্ভুক্ত করার প্রয়োজন হতে পারে যা একটি র্যান্ডম (অনুমানযোগ্য) সেশন কুকি নির্দিষ্ট করে এমন একটি ব্যবহারকারীকে জারি করা হয়েছে যারা সম্প্রতি তাদের পরিচয় প্রমাণ করেছে, উদাহরণস্বরূপ একটি ব্যবহারকারীর নাম, পাসওয়ার্ড এবং 2FA কোড সহ। এই ধরণের সেশন কুকি, সাধারণত সীমিত সময়ের জন্য বৈধ, পরবর্তীতে প্রাক-প্রমাণিত ব্যবহারকারীর দ্বারা সম্পাদিত লুকআপ অনুরোধগুলির জন্য একটি অস্থায়ী অ্যাক্সেস পাস হিসাবে কাজ করে। অপ্রমাণিত বা অজানা ব্যবহারকারীদের থেকে API অনুরোধগুলি অবিলম্বে প্রত্যাখ্যান করা যেতে পারে।
  • অ্যাক্সেস সীমাবদ্ধতা. আইডি নম্বর, বাড়ির ঠিকানা বা পেমেন্ট কার্ডের বিবরণের মতো ব্যক্তিগতভাবে শনাক্তযোগ্য ডেটা (PII) পুনরুদ্ধার করতে পারে এমন ডেটাবেস লুকআপগুলির জন্য, API এন্ডপয়েন্ট অনুরোধগুলি গ্রহণকারী সার্ভার সরাসরি ইন্টারনেট থেকে আসা অনুরোধগুলি ফিল্টার করার জন্য নেটওয়ার্ক-স্তরের সুরক্ষা আরোপ করতে পারে। একজন আক্রমণকারীকে তাই প্রথমে একটি অভ্যন্তরীণ সার্ভারের সাথে আপস করতে হবে এবং সরাসরি ইন্টারনেটে ডেটা অনুসন্ধান করতে সক্ষম হবে না।
  • অনুমান করা কঠিন ডাটাবেস শনাক্তকারী। যদিও অস্পষ্টতার মাধ্যমে সুরক্ষা (এছাড়াও "তারা কখনই অনুমান করবে না" নামে পরিচিত) সাইবার নিরাপত্তার জন্য একটি দুর্বল অন্তর্নিহিত ভিত্তি, দুর্বৃত্তদের জন্য জিনিসগুলিকে আপনার চেয়ে সহজ করার কোনও মানে নেই। যদি আপনার নিজের userid হয় 00000145, এবং আপনি জানেন যে একজন বন্ধু যিনি আপনাকে পাওয়ার পরই সাইন আপ করেছেন 00000148, তাহলে এটি একটি ভাল অনুমান যে বৈধ userid মানগুলি শুরু হয় 00000001 এবং সেখান থেকে উপরে যান। এলোমেলোভাবে উত্পন্ন মানগুলি আক্রমণকারীদের জন্য এটিকে আরও কঠিন করে তোলে যারা ইতিমধ্যেই আপনার অ্যাক্সেস নিয়ন্ত্রণে একটি লুপ চালানোর জন্য একটি লুপ খুঁজে পেয়েছে যা সম্ভাব্য ইউজারআইডগুলি পুনরুদ্ধার করার জন্য বারবার চেষ্টা করে।
  • হার সীমিত. অনুরূপ অনুরোধের কোনো পুনরাবৃত্তিমূলক ক্রম একটি সম্ভাব্য IoC ব্যবহার করা যেতে পারে, বা সমঝোতার সূচক. সাইবার অপরাধীরা যারা 11,000,000 ডাটাবেস আইটেম ডাউনলোড করতে চায় তারা সাধারণত পুরো কাজটি করার জন্য একটি একক IP নম্বর সহ একটি একক কম্পিউটার ব্যবহার করে না, তাই বাল্ক ডাউনলোড আক্রমণগুলি শুধুমাত্র ঐতিহ্যগত নেটওয়ার্ক প্রবাহ থেকে অবিলম্বে স্পষ্ট হয় না। কিন্তু তারা প্রায়ই নিদর্শন এবং কার্যকলাপের হার তৈরি করবে যা বাস্তব জীবনে আপনি যা দেখতে চান তার সাথে মেলে না।

স্পষ্টতই, Optus আক্রমণের সময় এই সুরক্ষাগুলির মধ্যে কয়েকটি বা কোনওটিই ছিল না, বিশেষত প্রথমটি সহ…

…অর্থাৎ আক্রমণকারী PII অ্যাক্সেস করতে সক্ষম হয়েছিল কখনোই নিজেকে সনাক্ত করার প্রয়োজন ছাড়াই, প্রবেশ করার জন্য বৈধ ব্যবহারকারীর লগইন কোড বা প্রমাণীকরণ কুকি চুরি করা ছেড়ে দিন।

একরকম, মনে হচ্ছে, সংবেদনশীল ডেটা অ্যাক্সেস সহ একটি API এন্ডপয়েন্ট ব্যাপকভাবে ইন্টারনেটে খোলা হয়েছিল, যেখানে এটি একটি সাইবার অপরাধী আবিষ্কার করেছিল এবং তথ্য বের করার জন্য অপব্যবহার করেছিল যা কিছু ধরণের সাইবারসিকিউরিটি পোর্টকুলিসের পিছনে থাকা উচিত ছিল।

এছাড়াও, যদি আক্রমণকারীর দাবি দুটি ডাটাবেস থেকে মোট 20,000,000 এর বেশি ডাটাবেস রেকর্ড পুনরুদ্ধার করেছে তা বিশ্বাস করা হয়, আমরা ধরে নিচ্ছি যে Optus userid কোডগুলি সহজেই গণনা করা হয়েছিল বা অনুমান করা হয়েছিল এবং [খ] যে কোনও "ডাটাবেস অ্যাক্সেস অস্বাভাবিক স্তরে আঘাত করেনি" সতর্কতা বন্ধ হয়ে গেছে।

দুর্ভাগ্যবশত, অপটাস কীভাবে তা সম্পর্কে ভয়ঙ্করভাবে পরিষ্কার হয়নি আক্রমণ প্রকাশ পায়, শুধু বলে:

প্র: এটা কীভাবে হল?

উ: অপটাস সাইবার আক্রমণের শিকার হয়েছিল। […]

প্র: হামলা কি বন্ধ হয়েছে?

উ: হ্যাঁ। এটি আবিষ্কার করার পরে, অপটাস অবিলম্বে আক্রমণটি বন্ধ করে দেয়।

অন্য কথায়, এটি দেখে মনে হচ্ছে "আক্রমণ বন্ধ করা" আরও অনুপ্রবেশের (যেমন অননুমোদিত API এন্ডপয়েন্টে অ্যাক্সেস অবরুদ্ধ করে) প্রাথমিক আক্রমণটিকে সীমিত সংখ্যক রেকর্ড চুরি হওয়ার পরে প্রাথমিক আক্রমণকে বাধা দেওয়ার পরিবর্তে বন্ধ করা জড়িত। .

আমরা সন্দেহ করি যে অপটাস যদি এটি এখনও চলাকালীন আক্রমণটি সনাক্ত করত, তবে সংস্থাটি তার প্রায়শই জিজ্ঞাসিত প্রশ্নাবলীতে বলেছিল যে তাদের অ্যাক্সেস বন্ধ করার আগে দুর্বৃত্তরা কতদূর পৌঁছেছিল।

এরপর কী?

যাদের পাসপোর্ট বা ড্রাইভিং লাইসেন্স নম্বর উন্মুক্ত করা হয়েছে তাদের গ্রাহকদের কী হবে?

ডকুমেন্টের সম্পূর্ণ বিশদ (যেমন একটি উচ্চ-রেজোলিউশন স্ক্যান বা সার্টিফাইড কপি) এর পরিবর্তে একটি আইডি ডকুমেন্ট নম্বর ফাঁস করা কতটা ঝুঁকির কারণ এইভাবে ডেটা লঙ্ঘনের শিকারের কাছে?

আজকাল আমরা কতটা ব্যাপকভাবে এবং ঘন ঘন ভাগ করি তা বিবেচনা করে আমাদের একা আইডি নম্বরগুলিতে কতটা সনাক্তকরণের মান দেওয়া উচিত?

অস্ট্রেলিয়ান সরকারের মতে, ঝুঁকি যথেষ্ট তাৎপর্যপূর্ণ যে লঙ্ঘনের শিকার ব্যক্তিদের প্রভাবিত নথিগুলি প্রতিস্থাপন করার পরামর্শ দেওয়া হচ্ছে।

এবং সম্ভবত লক্ষ লক্ষ ক্ষতিগ্রস্ত ব্যবহারকারীর সাথে, নথি পুনর্নবীকরণের চার্জ একাই কয়েক মিলিয়ন ডলারে যেতে পারে এবং দেশের ড্রাইভিং লাইসেন্সের একটি উল্লেখযোগ্য অনুপাত বাতিল এবং পুনরায় প্রদানের প্রয়োজন হতে পারে।

আমরা অনুমান করি প্রায় 16 মিলিয়ন অসিদের লাইসেন্স আছে, এবং তারা তাদের পাসপোর্ট বহন করার পরিবর্তে অস্ট্রেলিয়ার ভিতরে আইডি হিসাবে ব্যবহার করতে আগ্রহী। সুতরাং, যদি optusdata ব্রীচফোরাম পোস্টারটি সত্য বলছিল, এবং প্রায় 4 মিলিয়ন লাইসেন্স নম্বর চুরি হয়ে গেছে, সমস্ত অস্ট্রেলিয়ান লাইসেন্সের প্রায় 25% প্রতিস্থাপনের প্রয়োজন হতে পারে। আমরা জানি না অস্ট্রেলিয়ান ড্রাইভিং লাইসেন্সের ক্ষেত্রে এটি কতটা কার্যকর হতে পারে, যেগুলি পৃথক রাজ্য এবং অঞ্চল দ্বারা জারি করা হয়। ইউকে, উদাহরণস্বরূপ, আপনার ড্রাইভিং লাইসেন্স নম্বরটি আপনার নাম এবং জন্মতারিখ থেকে অ্যালগরিদমিকভাবে প্রাপ্ত হয়েছে, খুব সামান্য পরিমাণে এলোমেলোভাবে এবং মাত্র কয়েকটি এলোমেলো অক্ষর ঢোকানো হয়েছে। তাই একটি নতুন লাইসেন্স একটি নতুন নম্বর পায় যা আগেরটির মতোই।

যাদের লাইসেন্স নেই, বা যারা বিদেশী পাসপোর্টের ভিত্তিতে Optus থেকে সিম কার্ড কিনেছেন, তাদের পরিবর্তে তাদের পাসপোর্ট প্রতিস্থাপন করতে হবে - একটি অস্ট্রেলিয়া পাসপোর্ট প্রতিস্থাপনের খরচ AU$193 এর কাছাকাছি, একটি UK পাসপোর্ট £75 থেকে £85, এবং একটি মার্কিন পুনর্নবীকরণ হল $130 থেকে $160৷

(এছাড়াও অপেক্ষার সময়ের প্রশ্ন রয়েছে: অস্ট্রেলিয়া বর্তমানে পরামর্শ দেয় যে পাসপোর্ট প্রতিস্থাপন করতে কমপক্ষে 6 সপ্তাহ সময় লাগবে [2022-09-28T13:50Z], এবং এটি লঙ্ঘন-সম্পর্কিত প্রক্রিয়াকরণের কারণে হঠাৎ বৃদ্ধি ছাড়াই; যুক্তরাজ্যে, কারণে বিদ্যমান ব্যাকলগ, মহামান্য সরকার বর্তমানে আবেদনকারীদের পাসপোর্ট নবায়নের জন্য 10 সপ্তাহের অনুমতি দিতে বলছে।)

খরচ কে বহন করে?

অবশ্যই, যদি সমস্ত সম্ভাব্য আপস করা আইডি প্রতিস্থাপন করা প্রয়োজন বলে মনে করা হয়, জ্বলন্ত প্রশ্ন হল, "কে দেবে?"

অস্ট্রেলিয়ার প্রধানমন্ত্রী, অ্যান্থনি আলবানিজের মতে, পাসপোর্ট প্রতিস্থাপনের অর্থ কোথা থেকে আসবে তাতে কোনো সন্দেহ নেই:

ড্রাইভিং লাইসেন্স প্রতিস্থাপনের বিষয়ে ফেডারেল আইনসভার কাছ থেকে কোনও শব্দ নেই, এটি রাজ্য এবং অঞ্চলের সরকার দ্বারা পরিচালিত একটি বিষয়…

…এবং যখনই আইডি নথির সাথে জড়িত একটি লঙ্ঘনের রিপোর্ট করা হয় তখনই "সমস্ত নথি প্রতিস্থাপন করুন" একটি রুটিন প্রতিক্রিয়া হয়ে উঠবে কিনা সে সম্পর্কে কোনও শব্দ নেই, এমন কিছু যা সহজেই পাবলিক সার্ভিসকে জলাঞ্জলি দিতে পারে, এই শর্তে যে লাইসেন্স এবং পাসপোর্ট সাধারণত 10 বছর স্থায়ী হবে বলে আশা করা হয়৷

এই স্থান দেখুন - এটি আকর্ষণীয় পেতে সেট দেখায়!

সময় স্ট্যাম্প:

থেকে আরো নগ্ন সুরক্ষা