Den australske telekommunikationsgigant Optus modtager efter sigende hjælp fra FBI til at efterforske, hvad der ser ud til at have været et let forebyggeligt brud, der endte med at afsløre følsomme data på næsten 10 millioner kunder.
I mellemtiden trak den tilsyneladende hacker eller hackere bag bruddet tirsdag deres krav om en løsesum på 1 million dollars tilbage sammen med en trussel om at frigive partier af de stjålne data, indtil løsesummen var betalt. Trusselsaktøren hævdede også, at han eller hun slettede alle de data, der var stjålet fra Optus. Det tilsyneladende hjerteskifte kom dog efter, at angriberen allerede tidligere havde frigivet en prøve på omkring 10,200 kunderegistre, tilsyneladende som bevis på hensigten.
Anden Tanker
Angriberens årsag til at trække kravet om løsesum og truslen om datalæk er stadig uklar. Men i en erklæring postet på et Dark Web-forum — og genindsendt på databreaches.net - den påståede angriber hentydede til "for mange øjne", der så dataene som en årsag. "Vi vil ikke sælge data til nogen," stod der i notatet. "Vi kan ikke, hvis vi engang vil: Personligt slettede data fra drev (Kun kopiering)."
Angriberen undskyldte også til Optus og til de 10,200 kunder, hvis data blev lækket: "Australien vil ikke se nogen gevinst i svindel, dette kan overvåges. Måske for 10,200 australske men resten af befolkningen nej. Det er meget ked af det for dig."
Undskyldningen og angriberens påstande om at slette de stjålne data vil næppe dæmpe bekymringerne omkring angrebet, der er blevet beskrevet som Australiens største brud nogensinde.
Optus først afslørede bruddet den 21. september, og har i en række opdateringer siden da beskrevet det som at påvirke nuværende og tidligere kunder hos virksomhedens bredbånds-, mobil- og erhvervskunder fra 2017 og frem. Ifølge virksomheden kan bruddet potentielt have afsløret kundenavne, fødselsdatoer, telefonnumre, e-mailadresser og - for en undergruppe af kunder - deres fulde adresser, kørekortoplysninger eller pasnumre.
Optus sikkerhedspraksis under lup
Bruddet har vækket bekymringer for udbredt identitetssvindel og skubbet Optus til - blandt andre foranstaltninger - at arbejde med forskellige australske delstatsregeringer for at diskutere potentialet for at ændre kørekortdetaljer for berørte personer på virksomhedens regning. "Når vi kontakter dig, krediterer vi din konto for at dække eventuelle relevante erstatningsomkostninger. Det gør vi automatisk, så du behøver ikke kontakte os,” informerede Optus kunderne. "Hvis du ikke hører fra os, betyder det, at dit kørekort ikke skal ændres."
Datakompromiset har sat Optus sikkerhedspraksis direkte i søgelyset, især fordi det ser ud til at være et resultat af en grundlæggende fejl. Australian Broadcasting Corporation (ABC) den 22. september citerede en uidentificeret "seniorfigur” inde i Optus som at sige, at angriberen dybest set var i stand til at få adgang til databasen via en uautoriseret applikationsprogrammeringsgrænseflade (API).
Insideren fortalte angiveligt til ABC, at den levende kundeidentitetsdatabase, som angriberen fik adgang til, var forbundet via en ubeskyttet API til internettet. Antagelsen var, at kun autoriserede Optus-systemer ville bruge API'en. Men det endte på en eller anden måde med at blive udsat for et testnetværk, som tilfældigvis var direkte forbundet til internettet, citerede ABC insider for at sige.
ABC og andre medier beskrev Optus CEO Kelly Bayer Rosmarin som at insistere på, at virksomheden var offer for et sofistikeret angreb, og at de data, som angriberen hævdede at have adgang til, var krypteret.
Hvis rapporten om den afslørede API er sand, var Optus offer for en sikkerhedsfejl, som mange andre begår. "Brukket brugergodkendelse er en af de mest almindelige API-sårbarheder," siger Adam Fisher, løsningsarkitekt hos Salt Security. "Angribere leder efter dem først, fordi uautoriserede API'er ikke tager nogen indsats for at bryde."
Åbne eller ikke-autentificerede API'er er ofte resultatet af, at infrastrukturteamet eller det team, der styrer godkendelse, fejlkonfigurerer noget, siger han. "Fordi det kræver mere end ét team at køre en applikation, opstår der ofte fejlkommunikation," siger Fisher. Han bemærker, at uautoriserede API'er indtager andenpladsen på OWASPs liste over de 10 bedste API-sikkerhedssårbarheder.
En rapport bestilt af Imperva tidligere i år identificerede amerikanske virksomheder som pådrager sig mellem $12 milliarder og $23 milliarder i tab fra API-linkede kompromiser blot i 2022. Endnu en undersøgelsesbaseret undersøgelse, som Cloudentity gennemførte sidste år, fandt 44 % af de adspurgte sagde, at deres organisation havde oplevet datalækage og andre problemer som følge af API-sikkerhed bortfalder.
"Forskrækket" angriber?
FBI reagerede ikke med det samme på en Dark Reading-anmodning om kommentar via dets nationale pressekontors e-mail-adresse, men Guardian
og andre rapporterede, at det amerikanske retshåndhævende agentur var blevet tilkaldt for at hjælpe med efterforskningen. Det Australsk føderalt politi, som efterforsker Optus-bruddet, sagde, at det arbejdede med oversøiske retshåndhævelser for at opspore den person eller gruppe, der er ansvarlig for det.
Casey Ellis, grundlægger og CTO af bug bounty-firmaet Bugcrowd, siger, at den intense undersøgelse, bruddet har modtaget fra den australske regering, offentligheden og retshåndhævelsen, kan have skræmt angriberen. "Det er ret sjældent, at denne type interaktion er så spektakulær, som denne har været," siger han. "At kompromittere næsten halvdelen af befolkningen i et land vil få en masse meget intens og meget kraftfuld opmærksomhed, og de involverede angribere her undervurderede klart dette."
Deres svar antyder, at trusselsaktørerne er meget unge og sandsynligvis meget nye inden for kriminel adfærd, i det mindste af denne skala, bemærker han.
"Det er klart, at den australske regering har taget dette brud meget alvorligt og går glubsk efter angriberen," tilføjer Fisher. "Denne stærke reaktion kunne have fanget angriberen ude af vagt," og sandsynligvis fået andre tanker. “Men desværre er dataene allerede ude i det fri. Når først en virksomhed finder sig selv i nyhederne som denne, er enhver hacker opmærksom."
