Optus-Verletzung – Australisches Telekommunikationsunternehmen sagte, es müsse zahlen, um IDs PlatoBlockchain Data Intelligence zu ersetzen. Vertikale Suche. Ai.

Optus-Verletzung – Australisches Telekommunikationsunternehmen teilte mit, dass es für den Ersatz von Ausweisen zahlen muss

Zeitstempel: 28. September 2022, 9:55 Uhr

by
Paul Ducklin

Der Cybereinbruch der letzten Woche beim australischen Telekommunikationsunternehmen Optus, das etwa 10 Millionen Kunden hat, hat den Zorn der Regierung des Landes auf sich gezogen, wie das angegriffene Unternehmen mit gestohlenen ID-Daten umgehen soll.

Darkweb Screenshots tauchte nach dem Angriff schnell mit einem Untergrund auf Verletzungsforen Benutzer, der den Klartextnamen von trägt optusdata Angebot von zwei Datentranchen mit der Behauptung, dass sie zwei Datenbanken wie folgt hätten:

  11,200,000 Benutzerdatensätze mit Name, Geburtsdatum, Handynummer und ID 4,232,652 Datensätze enthielten irgendeine Art von ID-Dokumentnummer 3,664,598 der IDs stammten von Führerscheinen 10,000,000 Adressdatensätze mit E-Mail, Geburtsdatum, ID und mehr 3,817,197 hatten ID-Dokumentnummern 3,238,014 der Ausweise stammten von Führerscheinen

Der Verkäufer schrieb, „Optus, wenn du liest! Der Preis für uns, Daten nicht zu verkaufen, beträgt 1,000,000 US-Dollar! Wir geben Ihnen 1 Woche Zeit, um sich zu entscheiden.“

Regelmäßige Käufer, sagte der Verkäufer, könnten die Datenbanken für 300,000 US-Dollar als Arbeitslos haben, wenn Optus sein 1-Millionen-Dollar-Angebot für „exklusiven Zugang“ nicht innerhalb der Woche annimmt.

Der Verkäufer sagte, er erwarte eine Zahlung in Form von Monero, einer beliebten Kryptowährung, die schwerer nachzuverfolgen sei als Bitcoin.

Monero-Transaktionen sind vermischt als Teil des Zahlungsprotokolls, wodurch das Monero-Ökosystem zu einer Art Kryptocoin-Tumbler oder Anonymisierer wird.

Was ist passiert?

Die Datenpanne selbst war offenbar auf fehlende Sicherheit zurückzuführen, was im Fachjargon als an bezeichnet wird API-Endpunkt. (API ist die Abkürzung für Programmierschnittstelle, eine vordefinierte Möglichkeit für einen Teil einer App oder Sammlung von Apps, eine Art von Dienst anzufordern oder Daten von einem anderen abzurufen.)

Im Web nehmen API-Endpunkte normalerweise die Form von speziellen URLs an, die ein bestimmtes Verhalten auslösen oder angeforderte Daten zurückgeben, anstatt einfach nur eine Webseite bereitzustellen.

Zum Beispiel eine URL wie https://www.example.com/about könnte einfach eine statische Webseite in HTML-Form zurückgeben, wie zum Beispiel:

  
    
       
About this site

       
This site is just an example, as the URL implies.

Der Besuch der URL mit einem Browser würde daher zu einer Webseite führen, die so aussieht, wie Sie es erwarten würden:

Aber eine URL wie z https://api.example.com/userdata?id=23de­6731­e9a7 könnte einen Datenbankeintrag zurückgeben, der für den angegebenen Benutzer spezifisch ist, als ob Sie einen Funktionsaufruf in einem C-Programm wie folgt ausgeführt hätten:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Unter der Annahme, dass die angeforderte Benutzer-ID in der Datenbank vorhanden ist, kann der Aufruf der entsprechenden Funktion über eine HTTP-Anforderung an den Endpunkt eine Antwort im JSON-Format wie folgt erzeugen: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

In einer API dieser Art würden Sie wahrscheinlich erwarten, dass mehrere Cybersicherheitsvorkehrungen getroffen werden, wie zum Beispiel:

  • Authentifizierung. Jede Webanforderung muss möglicherweise einen HTTP-Header enthalten, der ein zufälliges (nicht erratbares) Sitzungscookie angibt, das an einen Benutzer ausgegeben wird, der seine Identität kürzlich nachgewiesen hat, beispielsweise mit einem Benutzernamen, einem Passwort und einem 2FA-Code. Diese Art von Sitzungscookies, die normalerweise nur für eine begrenzte Zeit gültig sind, fungiert als temporärer Zugangspass für Suchanforderungen, die anschließend vom vorab authentifizierten Benutzer ausgeführt werden. API-Anfragen von nicht authentifizierten oder unbekannten Benutzern können daher sofort abgelehnt werden.
  • Zugangsbeschränkungen. Bei Datenbanksuchen, die möglicherweise personenbezogene Daten (PII) wie ID-Nummern, Privatadressen oder Zahlungskartendetails abrufen, kann der Server, der API-Endpunktanfragen akzeptiert, einen Schutz auf Netzwerkebene auferlegen, um Anfragen herauszufiltern, die direkt aus dem Internet kommen. Ein Angreifer müsste daher zuerst einen internen Server kompromittieren und wäre nicht in der Lage, direkt über das Internet nach Daten zu suchen.
  • Schwer zu erratende Datenbankkennungen. Obwohl Sicherheit durch Dunkelheit (auch bekannt als „das werden sie nie erraten“) eine schlechte Grundlage für Cybersicherheit darstellt, macht es keinen Sinn, es den Gaunern einfacher zu machen, als Sie es müssen. Wenn Ihre eigene Benutzer-ID ist 00000145, und Sie wissen, dass ein Freund sich kurz nach Ihnen angemeldet hat 00000148, dann ist es eine gute Vermutung, dass gültige Benutzer-ID-Werte bei beginnen 00000001 und geh von dort hoch. Zufällig generierte Werte erschweren es Angreifern, die bereits eine Lücke in Ihrer Zugriffskontrolle gefunden haben, eine Schleife auszuführen, die immer wieder versucht, wahrscheinliche Benutzer-IDs abzurufen.
  • Ratenbegrenzung. Jede sich wiederholende Folge ähnlicher Anforderungen kann als potentielles IoC verwendet werden, oder Indikator für Kompromisse. Cyberkriminelle, die 11,000,000 Datenbankelemente herunterladen möchten, verwenden im Allgemeinen keinen einzelnen Computer mit einer einzigen IP-Nummer, um die gesamte Aufgabe zu erledigen, sodass Massen-Download-Angriffe nicht immer sofort offensichtlich sind, nur durch traditionelle Netzwerkflüsse. Aber sie erzeugen oft Muster und Aktivitätsraten, die einfach nicht mit dem übereinstimmen, was Sie im wirklichen Leben erwarten würden.

Anscheinend waren während des Optus-Angriffs nur wenige oder gar keine dieser Schutzmaßnahmen vorhanden, insbesondere einschließlich der ersten …

… was bedeutet, dass der Angreifer auf PII zugreifen konnte, ohne sich überhaupt identifizieren zu müssen, geschweige denn den Anmeldecode oder das Authentifizierungs-Cookie eines legitimen Benutzers zu stehlen, um hineinzukommen.

Irgendwie, so scheint es, wurde ein API-Endpunkt mit Zugriff auf sensible Daten für das Internet im Allgemeinen geöffnet, wo er von einem Cyberkriminellen entdeckt und missbraucht wurde, um Informationen zu extrahieren, die hinter einer Art Cybersicherheits-Fallgitter hätten stecken sollen.

Auch wenn man der Behauptung des Angreifers glauben darf, insgesamt mehr als 20,000,000 Datenbankeinträge aus zwei Datenbanken abgerufen zu haben, gehen wir davon aus, [a] dass Optus userid Codes wurden leicht berechnet oder erraten, und [b] dass keine „Datenbankzugriff hat ungewöhnliche Niveaus erreicht“-Warnungen ausgegeben wurden.

Leider war Optus nicht sehr klar darüber, wie die Angriff entfaltet, sagte nur:

F. Wie ist das passiert?

A. Optus wurde Opfer eines Cyberangriffs. […]

F. Wurde der Angriff gestoppt?

A. Ja. Als Optus dies entdeckte, beendete er den Angriff sofort.

Mit anderen Worten, es sieht so aus, als ob das „Abschalten des Angriffs“ das Schließen der Lücke gegen weitere Eindringlinge beinhaltete (z. B. durch Blockieren des Zugriffs auf den nicht authentifizierten API-Endpunkt), anstatt den ersten Angriff frühzeitig abzufangen, nachdem nur eine begrenzte Anzahl von Datensätzen gestohlen worden war .

Wir vermuten, wenn Optus den Angriff entdeckt hätte, während er noch im Gange war, hätte das Unternehmen in seinen FAQ angegeben, wie weit die Gauner gekommen waren, bevor ihr Zugang gesperrt wurde.

Was als nächstes?

Was ist mit Kunden, deren Pass- oder Führerscheinnummern offengelegt wurden?

Wie groß ist das Risiko, dass die Nummer eines Ausweisdokuments preisgegeben wird, anstatt vollständigere Details des Dokuments selbst (z. B. ein hochauflösender Scan oder eine beglaubigte Kopie) für das Opfer einer solchen Datenschutzverletzung?

Wie viel Identifikationswert sollten wir allein ID-Nummern beimessen, wenn man bedenkt, wie weit und häufig wir sie heutzutage teilen?

Nach Angaben der australischen Regierung ist das Risiko so groß, dass den Opfern des Verstoßes geraten wird, die betroffenen Dokumente zu ersetzen.

Und bei möglicherweise Millionen von betroffenen Benutzern könnten sich allein die Gebühren für die Erneuerung von Dokumenten auf Hunderte von Millionen Dollar belaufen und die Annullierung und Neuausstellung eines erheblichen Teils der Führerscheine des Landes erfordern.

Wir schätzen, dass etwa 16 Millionen Aussies eine Lizenz besitzen und dazu neigen, diese als Ausweis innerhalb Australiens zu verwenden, anstatt ihre Pässe mit sich herumzutragen. Also, wenn die optusdata Das BreachForum-Poster sagte die Wahrheit, und fast 4 Millionen Lizenznummern wurden gestohlen, fast 25 % aller australischen Lizenzen müssen möglicherweise ersetzt werden. Wir wissen nicht, wie nützlich dies bei australischen Führerscheinen sein könnte, die von einzelnen Bundesstaaten und Territorien ausgestellt werden. In Großbritannien zum Beispiel wird Ihre Führerscheinnummer ganz offensichtlich algorithmisch aus Ihrem Namen und Geburtsdatum abgeleitet, mit einer sehr bescheidenen Menge an Mischen und nur ein paar zufälligen Zeichen, die eingefügt werden. Eine neue Lizenz erhält daher eine neue Nummer, die der vorherigen sehr ähnlich ist.

Diejenigen ohne Lizenz oder Besucher, die SIM-Karten von Optus auf der Grundlage eines ausländischen Passes gekauft haben, müssten stattdessen ihre Pässe ersetzen – ein australischer Pass kostet fast 193 AU $, ein britischer Pass 75 bis 85 £ und eine Verlängerung in den USA kostet 130 bis 160 US-Dollar.

(Es gibt auch die Frage der Wartezeiten: Australien weist derzeit darauf hin, dass der Ersatzpass mindestens 6 Wochen dauern wird [2022-09-28T13:50Z], und das ohne einen plötzlichen Anstieg durch die Verarbeitung im Zusammenhang mit Datenschutzverletzungen; in Großbritannien aufgrund von bestehende Rückstände, fordert die Regierung Seiner Majestät die Antragsteller derzeit auf, 10 Wochen für die Passerneuerung einzuräumen.)

Wer trägt die Kosten?

Wenn das Ersetzen aller potenziell kompromittierten IDs als notwendig erachtet wird, lautet die brennende Frage natürlich: "Wer wird bezahlen?"

Laut dem australischen Premierminister Anthony Albanese besteht kein Zweifel, woher das Geld für den Ersatz der Pässe kommen soll:

Es gibt kein Wort vom Bundesgesetzgeber zum Ersetzen von Führerscheinen, da dies eine Angelegenheit ist, die von den Regierungen der Bundesstaaten und Territorien behandelt wird …

…und kein Wort darüber, ob „alle Dokumente ersetzen“ zur Routinereaktion wird, wenn ein Verstoß gegen Ausweisdokumente gemeldet wird, etwas, das den öffentlichen Dienst leicht überschwemmen könnte, da Lizenzen und Pässe normalerweise jeweils 10 Jahre halten sollen.

Sehen Sie sich diesen Bereich an – das wird bestimmt interessant!

Zeitstempel:

Mehr von Nackte Sicherheit