Berichten zufolge erhält der australische Telekommunikationsriese Optus Unterstützung vom FBI bei der Untersuchung eines scheinbar leicht vermeidbaren Verstoßes, der letztendlich zur Offenlegung sensibler Daten von fast 10 Millionen Kunden führte.
In der Zwischenzeit haben der oder die mutmaßlichen Hacker, die hinter dem Verstoß stecken, am Dienstag ihre Forderung nach einem Lösegeld in Höhe von 1 Million US-Dollar zurückgezogen und gedroht, große Mengen der gestohlenen Daten freizugeben, bis das Lösegeld bezahlt ist. Der Bedrohungsakteur behauptete außerdem, er oder sie habe alle von Optus gestohlenen Daten gelöscht. Der offensichtliche Sinneswandel erfolgte jedoch, nachdem der Angreifer bereits zuvor eine Stichprobe von etwa 10,200 Kundendatensätzen offengelegt hatte, scheinbar als Absichtsbeweis.
zweiten Gedanken
Der Grund des Angreifers für den Rückzug der Lösegeldforderung und die Gefahr eines Datenlecks bleiben unklar. Aber in einer Erklärung, die in einem Dark-Web-Forum veröffentlicht wurde: und erneut auf databreaches.net veröffentlicht – Der mutmaßliche Angreifer spielte darauf an, dass „zu viele Augen“ die Daten als einen Grund sahen. „Wir werden keine Daten an irgendjemanden verkaufen“, heißt es in der Notiz. „Wir können nicht, wenn wir es überhaupt wollen: persönlich Daten vom Laufwerk löschen (nur kopieren).“
Der Angreifer entschuldigte sich auch bei Optus und den 10,200 Kunden, deren Daten durchgesickert waren: „Australien wird durch Betrug keinen Gewinn erzielen, das kann überwacht werden.“ Vielleicht für 10,200 Australier, aber der Rest der Bevölkerung nicht. Es tut dir sehr leid.“
Die Entschuldigung und die Behauptung des Angreifers, die gestohlenen Daten gelöscht zu haben, werden die Bedenken im Zusammenhang mit dem Angriff, der als Australiens größter Verstoß aller Zeiten beschrieben wurde, wahrscheinlich nicht zerstreuen.
Optus gab den Verstoß erstmals am 21. September bekannt, und in einer Reihe von Aktualisierungen wurde seitdem beschrieben, dass es sich ab 2017 auf aktuelle und frühere Kunden der Breitband-, Mobilfunk- und Geschäftskunden des Unternehmens auswirkt. Nach Angaben des Unternehmens könnten durch den Verstoß möglicherweise Kundennamen, Geburtsdaten, Telefonnummern, E-Mail-Adressen und – für einen Teil der Kunden – deren vollständige Adressen, Führerscheininformationen oder Reisepassnummern offengelegt worden sein.
Optus-Sicherheitspraktiken unter der Lupe
Der Verstoß hat Bedenken hinsichtlich eines weit verbreiteten Identitätsbetrugs geweckt und Optus dazu veranlasst, – neben anderen Maßnahmen – mit verschiedenen australischen Landesregierungen zusammenzuarbeiten, um die Möglichkeit einer Änderung der Führerscheindaten betroffener Personen auf Kosten des Unternehmens zu erörtern. „Wenn wir uns mit Ihnen in Verbindung setzen, schreiben wir Ihrem Konto eine Gutschrift zur Deckung etwaiger Ersatzkosten gut. Wir erledigen dies automatisch, sodass Sie uns nicht kontaktieren müssen“, informierte Optus die Kunden. „Wenn Sie nichts von uns hören, bedeutet das, dass Ihr Führerschein nicht geändert werden muss.“
Die Datenkompromittierung hat die Sicherheitspraktiken von Optus ins Rampenlicht gerückt, insbesondere weil sie offenbar auf einen grundlegenden Fehler zurückzuführen ist. Die Australian Broadcasting Corporation (ABC) am 22. September zitierte eine unbekannte „hochrangige Persönlichkeit“.”In Optus heißt es, der Angreifer sei grundsätzlich in der Lage gewesen, über eine nicht authentifizierte Anwendungsprogrammierschnittstelle (API) auf die Datenbank zuzugreifen.
Der Insider teilte ABC angeblich mit, dass die Live-Kundenidentitätsdatenbank, auf die der Angreifer zugegriffen hatte, über eine ungeschützte API mit dem Internet verbunden sei. Man ging davon aus, dass nur autorisierte Optus-Systeme die API nutzen würden. Aber irgendwie geriet es schließlich in ein Testnetzwerk, das zufällig direkt mit dem Internet verbunden war, zitierte ABC den Insider.
ABC und andere Medien berichteten, Optus-CEO Kelly Bayer Rosmarin habe darauf bestanden, dass das Unternehmen Opfer eines raffinierten Angriffs geworden sei und dass die Daten, auf die der Angreifer angeblich zugegriffen habe, verschlüsselt seien.
Wenn der Bericht über die offengelegte API wahr ist, wurde Optus Opfer eines Sicherheitsfehlers, den viele andere machen. „Eine fehlerhafte Benutzerauthentifizierung ist eine der häufigsten API-Schwachstellen“, sagt Adam Fisher, Lösungsarchitekt bei Salt Security. „Angreifer suchen zuerst nach ihnen, da nicht authentifizierte APIs ohne großen Aufwand angegriffen werden können.“
Offene oder nicht authentifizierte APIs seien oft das Ergebnis einer Fehlkonfiguration des Infrastrukturteams oder des Teams, das die Authentifizierung verwaltet, sagt er. „Da für die Ausführung einer Anwendung mehr als ein Team erforderlich ist, kommt es häufig zu Missverständnissen“, sagt Fisher. Er stellt fest, dass nicht authentifizierte APIs den zweiten Platz in der OWASP-Liste der zehn größten API-Sicherheitslücken einnehmen.
In einem Anfang des Jahres von Imperva in Auftrag gegebenen Bericht wurde festgestellt, dass US-Unternehmen zwischen den beiden leiden Verluste in Höhe von 12 Milliarden US-Dollar bzw. 23 Milliarden US-Dollar durch API-bezogene Kompromittierungen erst im Jahr 2022. Eine weitere umfragebasierte Studie, die Cloudentity letztes Jahr durchgeführt hat, ergab 44 % der Befragten gaben an, dass in ihrem Unternehmen Datenlecks aufgetreten seien und andere Probleme, die auf API-Sicherheitslücken zurückzuführen sind.
„Verängstigter“ Angreifer?
Das FBI antwortete nicht sofort auf eine Anfrage von Dark Reading nach einem Kommentar über die E-Mail-Adresse seiner nationalen Pressestelle, aber die Guardian
und andere berichteten, dass die US-Strafverfolgungsbehörde zur Unterstützung der Ermittlungen hinzugezogen worden sei. Der Australische Bundespolizei, das den Optus-Verstoß untersucht, sagte, es arbeite mit ausländischen Strafverfolgungsbehörden zusammen, um die dafür verantwortliche Person oder Gruppe aufzuspüren.
Casey Ellis, Gründer und CTO der Bug-Bounty-Firma Bugcrowd, sagt, dass die intensive Prüfung des Verstoßes durch die australische Regierung, die Öffentlichkeit und die Strafverfolgungsbehörden den Angreifer möglicherweise verschreckt haben könnte. „Es ist ziemlich selten, dass diese Art von Interaktion so spektakulär ist wie diese“, sagt er. „Die Gefährdung von fast der Hälfte der Bevölkerung eines Landes wird eine Menge sehr intensiver und sehr mächtiger Aufmerksamkeit erregen, und die hier beteiligten Angreifer haben dies eindeutig unterschätzt.“
Ihre Reaktion deutet darauf hin, dass die Bedrohungsakteure sehr jung und wahrscheinlich noch sehr neu in Bezug auf kriminelles Verhalten sind, zumindest in diesem Ausmaß, stellt er fest.
„Offensichtlich hat die australische Regierung diesen Verstoß sehr ernst genommen und geht dem Angreifer unerbittlich nach“, fügt Fisher hinzu. „Diese starke Reaktion könnte den Angreifer überrascht haben“ und wahrscheinlich zum Nachdenken angeregt haben. „Allerdings sind die Daten leider bereits offengelegt. Sobald ein Unternehmen in solchen Nachrichten auftaucht, wird jeder Hacker aufmerksam.“
