Παραβίαση Optus – Η Aussie telco είπε ότι θα πρέπει να πληρώσει για να αντικαταστήσει τις ταυτότητες

Η κυβερνοεισβολή της περασμένης εβδομάδας στην αυστραλιανή τηλεπικοινωνιακή εταιρεία Optus, η οποία έχει περίπου 10 εκατομμύρια πελάτες, έχει προκαλέσει την οργή της κυβέρνησης της χώρας σχετικά με τον τρόπο με τον οποίο η παραβιασμένη εταιρεία πρέπει να αντιμετωπίσει τα στοιχεία κλεμμένων ταυτοτήτων.

σκοτεινός ιστός screenshots εμφανίστηκε γρήγορα μετά την επίθεση, με υπόγειο Παραβίαση Φόρουμ χρήστης με το απλό όνομα του optusdata προσφέροντας δύο δόσεις δεδομένων, υποστηρίζοντας ότι διέθεταν δύο βάσεις δεδομένων ως εξής:

  11,200,000 εγγραφές χρηστών με όνομα, ημερομηνία γέννησης, αριθμό κινητού τηλεφώνου και εγγραφές αναγνωριστικού 4,232,652 περιλάμβαναν κάποιο είδος εγγράφου ταυτότητας με αριθμό 3,664,598 από τα αναγνωριστικά ήταν από άδειες οδήγησης. 10,000,000 αρχεία διευθύνσεων με email, ημερομηνία γέννησης, ταυτότητα και άλλα των ταυτοτήτων ήταν από διπλώματα οδήγησης

Ο πωλητής έγραψε, «Optus αν διαβάζεις! Η τιμή για να μην πουλήσουμε δεδομένα [sic] είναι 1,000,000$ ΗΠΑ! Σας δίνουμε 1 εβδομάδα για να αποφασίσετε."

Οι τακτικοί αγοραστές, είπε ο πωλητής, θα μπορούσαν να έχουν τις βάσεις δεδομένων για 300,000 $ ως παρτίδα εργασίας, εάν η Optus δεν δεχόταν την προσφορά "αποκλειστικής πρόσβασης" $ 1 εκατομμυρίου εντός της εβδομάδας.

Ο πωλητής είπε ότι περίμεναν πληρωμή με τη μορφή του Monero, ενός δημοφιλούς κρυπτονομίσματος που είναι πιο δύσκολο να εντοπιστεί από το Bitcoin.

Οι συναλλαγές Monero είναι αναμειγνύονται μαζί ως μέρος του πρωτοκόλλου πληρωμών, καθιστώντας το οικοσύστημα Monero σε ένα είδος ανατροπέα ή ανωνυμοποιητή κρυπτονομισμάτων από μόνο του.

Τι συνέβη;

Η ίδια η παραβίαση δεδομένων οφειλόταν προφανώς στην έλλειψη ασφάλειας σε αυτό που είναι γνωστό στην ορολογία ως Τελικό σημείο API. (Το API είναι συντομογραφία διεπαφή προγραμματισμού εφαρμογών, ένας προκαθορισμένος τρόπος για ένα μέρος μιας εφαρμογής ή συλλογής εφαρμογών, να ζητά κάποιο είδος υπηρεσίας ή να ανακτά δεδομένα από ένα άλλο.)

Στον ιστό, τα τελικά σημεία API συνήθως έχουν τη μορφή ειδικών διευθύνσεων URL που ενεργοποιούν συγκεκριμένη συμπεριφορά ή επιστρέφουν ζητούμενα δεδομένα, αντί να προβάλλουν απλώς μια ιστοσελίδα.

Για παράδειγμα, μια διεύθυνση URL όπως https://www.example.com/about μπορεί απλώς να ανατροφοδοτήσει μια στατική ιστοσελίδα σε μορφή HTML, όπως:

  
    
       
About this site
       
This site is just an example, as the URL implies.
    
   

Επομένως, η επίσκεψη της διεύθυνσης URL με ένα πρόγραμμα περιήγησης θα είχε ως αποτέλεσμα μια ιστοσελίδα που φαίνεται όπως θα περιμένατε:

Αλλά μια διεύθυνση URL όπως https://api.example.com/userdata?id=23de­6731­e9a7 μπορεί να επιστρέψει μια εγγραφή βάσης δεδομένων ειδικά για τον καθορισμένο χρήστη, σαν να είχατε κάνει μια κλήση συνάρτησης σε ένα πρόγραμμα C σύμφωνα με τις γραμμές:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Υποθέτοντας ότι το αναγνωριστικό χρήστη που ζητήθηκε υπήρχε στη βάση δεδομένων, η κλήση της ισοδύναμης συνάρτησης μέσω αιτήματος HTTP στο τελικό σημείο μπορεί να παράγει μια απάντηση σε μορφή JSON, όπως αυτή:

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

Σε ένα API αυτού του είδους, θα περιμένατε πιθανώς να υπάρχουν αρκετές προφυλάξεις για την ασφάλεια στον κυβερνοχώρο, όπως:

• Αυθεντικοποίηση. Κάθε αίτημα ιστού μπορεί να χρειαστεί να περιλαμβάνει μια κεφαλίδα HTTP που καθορίζει ένα τυχαίο (μη μαντέψιμο) cookie περιόδου λειτουργίας που εκδόθηκε σε έναν χρήστη που είχε πρόσφατα αποδείξει την ταυτότητά του, για παράδειγμα με όνομα χρήστη, κωδικό πρόσβασης και κωδικό 2FA. Αυτό το είδος cookie περιόδου λειτουργίας, που συνήθως ισχύει μόνο για περιορισμένο χρονικό διάστημα, λειτουργεί ως προσωρινό πάσο πρόσβασης για αιτήματα αναζήτησης που εκτελούνται στη συνέχεια από τον προ-ελεγμένο χρήστη. Επομένως, αιτήματα API από μη επαληθευμένους ή άγνωστους χρήστες μπορούν να απορριφθούν αμέσως.
• Περιορισμοί πρόσβασης. Για αναζητήσεις βάσεων δεδομένων που ενδέχεται να ανακτήσουν προσωπικά αναγνωρίσιμα δεδομένα (PII), όπως αριθμούς ταυτότητας, διευθύνσεις κατοικίας ή στοιχεία κάρτας πληρωμής, ο διακομιστής που δέχεται αιτήματα τερματικού σημείου API ενδέχεται να επιβάλει προστασία σε επίπεδο δικτύου για να φιλτράρει αιτήματα που προέρχονται απευθείας από το διαδίκτυο. Επομένως, ένας εισβολέας θα πρέπει πρώτα να παραβιάσει έναν εσωτερικό διακομιστή και δεν θα μπορεί να διερευνήσει δεδομένα απευθείας μέσω του Διαδικτύου.
• Δύσκολα μαντέψιμα αναγνωριστικά βάσης δεδομένων. Αν και ασφάλεια μέσω της αφάνειας (γνωστό και ως "δεν θα το μαντέψουν ποτέ") είναι μια κακή υποκείμενη βάση για την ασφάλεια στον κυβερνοχώρο, δεν έχει νόημα να κάνουμε τα πράγματα ευκολότερα από ό,τι πρέπει για τους απατεώνες. Εάν το δικό σας userid είναι 00000145, και ξέρετε ότι ένας φίλος που εγγράφηκε μόλις το πήρες 00000148, τότε είναι καλή εικασία ότι οι έγκυρες τιμές userid ξεκινούν από 00000001 και ανέβα από εκεί. Οι τιμές που δημιουργούνται τυχαία καθιστούν πιο δύσκολο για τους εισβολείς που έχουν ήδη βρει ένα κενό στον έλεγχο πρόσβασής σας να εκτελέσουν έναν βρόχο που προσπαθεί ξανά και ξανά να ανακτήσει πιθανά userids.
• Περιορισμός ποσοστού. Οποιαδήποτε επαναλαμβανόμενη ακολουθία παρόμοιων αιτημάτων μπορεί να χρησιμοποιηθεί ως δυνητικό IoC ή δείκτης συμβιβασμού. Οι εγκληματίες του κυβερνοχώρου που θέλουν να κατεβάσουν 11,000,000 στοιχεία βάσης δεδομένων γενικά δεν χρησιμοποιούν έναν υπολογιστή με έναν μόνο αριθμό IP για να κάνουν ολόκληρη τη δουλειά, επομένως οι επιθέσεις μαζικής λήψης δεν είναι πάντα άμεσα εμφανείς μόνο από τις παραδοσιακές ροές δικτύου. Αλλά συχνά δημιουργούν μοτίβα και ρυθμούς δραστηριότητας που απλά δεν ταιριάζουν με αυτό που θα περιμένατε να δείτε στην πραγματική ζωή.

Προφανώς, λίγες ή καμία από αυτές τις προστασίες υπήρχαν κατά τη διάρκεια της επίθεσης Optus, κυρίως συμπεριλαμβανομένης της πρώτης…

…που σημαίνει ότι ο εισβολέας μπόρεσε να αποκτήσει πρόσβαση σε PII χωρίς ποτέ να χρειάζεται να ταυτοποιηθεί καθόλου, πόσο μάλλον να κλέψει τον κωδικό σύνδεσης ενός νόμιμου χρήστη ή ένα cookie ελέγχου ταυτότητας για να εισέλθει.

Κάπως, φαίνεται, ένα τελικό σημείο API με πρόσβαση σε ευαίσθητα δεδομένα άνοιξε στο διαδίκτυο γενικά, όπου ανακαλύφθηκε από έναν κυβερνοεγκληματία και έγινε κατάχρηση για την εξαγωγή πληροφοριών που θα έπρεπε να κρύβονται πίσω από κάποιου είδους portcullis για την ασφάλεια στον κυβερνοχώρο.

Επίσης, εάν ο ισχυρισμός του εισβολέα ότι έχει ανακτήσει συνολικά περισσότερες από 20,000,000 εγγραφές βάσεων δεδομένων από δύο βάσεις δεδομένων είναι πιστευτός, υποθέτουμε [α] ότι το Optus userid Οι κώδικες υπολογίστηκαν ή μαντεύτηκαν εύκολα και [b] ότι καμία προειδοποίηση «η πρόσβαση στη βάση δεδομένων έχει φτάσει σε ασυνήθιστα επίπεδα» έπεσε.

Δυστυχώς, το Optus δεν ήταν τρομερά ξεκάθαρο για το πώς εκτυλίχθηκε η επίθεση, λέγοντας απλώς:

Ερ. Πώς έγινε αυτό;

Ο A. Optus έπεσε θύμα κυβερνοεπίθεσης. […]

Ερ. Έχει σταματήσει η επίθεση;

Α. Ναι. Μόλις το ανακάλυψε αυτό, ο Optus έκλεισε αμέσως την επίθεση.

Με άλλα λόγια, φαίνεται ότι ο «κλείσιμος της επίθεσης» περιλάμβανε το κλείσιμο του παραθύρου έναντι περαιτέρω εισβολής (π.χ. μπλοκάροντας την πρόσβαση στο μη επιβεβαιωμένο τελικό σημείο API) αντί να αναχαιτιστεί η αρχική επίθεση νωρίς μετά την κλοπή μόνο περιορισμένου αριθμού εγγραφών .

Υποψιαζόμαστε ότι εάν η Optus είχε εντοπίσει την επίθεση ενώ ήταν ακόμη σε εξέλιξη, η εταιρεία θα είχε δηλώσει στις Συχνές Ερωτήσεις της πόσο μακριά είχαν φτάσει οι απατεώνες πριν κλείσει η πρόσβασή τους.

Ποιο είναι το επόμενο?

Τι γίνεται με τους πελάτες των οποίων οι αριθμοί διαβατηρίου ή άδειας οδήγησης ήταν εκτεθειμένοι;

Πόσο κίνδυνο ενέχει η διαρροή ενός αριθμού εγγράφου ταυτότητας, αντί για πιο ολοκληρωμένες λεπτομέρειες του ίδιου του εγγράφου (όπως μια σάρωση υψηλής ανάλυσης ή ένα επικυρωμένο αντίγραφο), για το θύμα μιας παραβίασης δεδομένων όπως αυτή;

Πόση αξία αναγνώρισης πρέπει να δίνουμε μόνο στους αριθμούς ταυτότητας, δεδομένου του πόσο ευρέως και συχνά τους κοινοποιούμε αυτές τις μέρες;

Σύμφωνα με την αυστραλιανή κυβέρνηση, ο κίνδυνος είναι αρκετά σημαντικός ώστε τα θύματα της παραβίασης να συμβουλεύονται να αντικαταστήσουν τα επηρεαζόμενα έγγραφα.

Και με πιθανώς εκατομμύρια επηρεαζόμενους χρήστες, μόνο οι χρεώσεις ανανέωσης εγγράφων θα μπορούσαν να ανέλθουν σε εκατοντάδες εκατομμύρια δολάρια και να απαιτήσουν την ακύρωση και την επανέκδοση σημαντικού ποσοστού των αδειών οδήγησης της χώρας.

Υπολογίζουμε ότι περίπου 16 εκατομμύρια Αυστραλοί έχουν άδειες και τείνουν να τις χρησιμοποιούν ως ταυτότητα εντός της Αυστραλίας αντί να φέρουν μαζί τους τα διαβατήριά τους. Έτσι, εάν το optusdata Η αφίσα του BreachForum έλεγε την αλήθεια και κλάπηκαν σχεδόν 4 εκατομμύρια αριθμοί αδειών, σχεδόν το 25% όλων των αυστραλιανών αδειών μπορεί να χρειαστεί αντικατάσταση. Δεν γνωρίζουμε πόσο χρήσιμο μπορεί να είναι αυτό στην περίπτωση των αυστραλιανών αδειών οδήγησης, οι οποίες εκδίδονται από μεμονωμένες πολιτείες και περιοχές. Στο Ηνωμένο Βασίλειο, για παράδειγμα, ο αριθμός της άδειας οδήγησής σας προφανώς προέρχεται αλγοριθμικά από το όνομα και την ημερομηνία γέννησής σας, με μια πολύ μικρή ανακατεύθυνση και μόνο μερικούς τυχαίους χαρακτήρες. Επομένως, μια νέα άδεια λαμβάνει έναν νέο αριθμό που μοιάζει πολύ με τον προηγούμενο.

Όσοι δεν έχουν άδειες ή επισκέπτες που είχαν αγοράσει κάρτες SIM από την Optus με βάση ξένο διαβατήριο, θα πρέπει να αντικαταστήσουν τα διαβατήριά τους – η αντικατάσταση διαβατηρίου της Αυστραλίας κοστίζει κοντά στα 193 AU$, ένα διαβατήριο του Ηνωμένου Βασιλείου είναι από 75 έως 85 £ και μια ανανέωση στις ΗΠΑ είναι $130 έως $160.

(Υπάρχει επίσης το ζήτημα των χρόνων αναμονής: Η Αυστραλία συμβουλεύει επί του παρόντος ότι το διαβατήριο αντικατάστασης θα διαρκέσει τουλάχιστον 6 εβδομάδες [2022-09-28T13:50Z], και αυτό είναι χωρίς ξαφνική αύξηση που προκαλείται από επεξεργασία που σχετίζεται με παραβίαση· στο ΗΒ, λόγω υπάρχουσες καθυστερήσεις, η Κυβέρνηση της Αυτού Μεγαλειότητας λέει επί του παρόντος στους αιτούντες να αφήσουν 10 εβδομάδες για την ανανέωση του διαβατηρίου.)

Ποιος αναλαμβάνει το κόστος;

Φυσικά, εάν η αντικατάσταση όλων των δυνητικά παραβιασμένων αναγνωριστικών κριθεί απαραίτητη, το φλέγον ερώτημα είναι: «Ποιος θα πληρώσει;»

Σύμφωνα με τον Αυστραλό πρωθυπουργό, Anthony Albanese, δεν υπάρχει αμφιβολία από πού πρέπει να προέλθουν τα χρήματα για την αντικατάσταση των διαβατηρίων:

Αυτό το απόγευμα @albomp έδωσε στο κοινοβούλιο μια σημαντική ενημέρωση σχετικά με την παραβίαση ασφαλείας του Optus.

Όχι μόνο απαιτούμε από την Optus να πληρώσει για αντικατάσταση διαβατηρίων για όσους επηρεάζονται από την παραβίαση, αλλά δεσμευόμαστε επίσης να ενισχύσουμε τους νόμους περί απορρήτου μέσω της αναθεώρησης του νόμου περί απορρήτου. pic.twitter.com/JyoRJxyM3p

— Clare O'Neil MP (@ClareONEilMP) Σεπτέμβριος 28, 2022

Δεν υπάρχει καμία λέξη από το ομοσπονδιακό νομοθετικό σώμα σχετικά με την αντικατάσταση των αδειών οδήγησης, αυτό είναι ένα θέμα που χειρίζονται οι κυβερνήσεις των Πολιτειών και των Επικρατειών…

…και καμία λέξη για το εάν η «αντικατάσταση όλων των εγγράφων» θα γίνει μια αντίδραση ρουτίνας κάθε φορά που αναφέρεται παραβίαση εγγράφου ταυτότητας, κάτι που θα μπορούσε εύκολα να κατακλύσει τη δημόσια υπηρεσία, δεδομένου ότι οι άδειες και τα διαβατήρια συνήθως αναμένεται να διαρκέσουν 10 χρόνια το καθένα.

Παρακολουθήστε αυτόν τον χώρο - φαίνεται ότι θα γίνει ενδιαφέρον!

---