Según se informa, el gigante australiano de las telecomunicaciones Optus está recibiendo ayuda del FBI para investigar lo que parece haber sido una violación fácilmente evitable que terminó exponiendo datos confidenciales de casi 10 millones de clientes.
Mientras tanto, el pirata informático aparente detrás de la infracción retiró el martes su demanda de un rescate de 1 millón de dólares junto con la amenaza de liberar lotes de datos robados hasta que se pagara el rescate. El actor de amenazas también afirmó que eliminó todos los datos robados de Optus. Sin embargo, el aparente cambio de opinión se produjo después de que el atacante ya hubiera publicado una muestra de unos 10,200 registros de clientes, aparentemente como prueba de su intención.
Second Thoughts
El motivo del atacante para retirar la demanda de rescate y la amenaza de fuga de datos aún no están claros. Pero en una declaración publicada en un foro de la Dark Web: y publicado nuevamente en databreaches.net – el presunto atacante aludió a que “demasiados ojos” vieron los datos como una de las razones. "No venderemos datos a nadie", decía la nota. "No podemos aunque lo queramos: datos eliminados personalmente del disco (solo copia)".
El atacante también pidió disculpas a Optus y a los 10,200 clientes cuyos datos se filtraron: “Australia no verá ningún beneficio con el fraude, esto puede ser monitoreado. Quizás para 10,200 australianos pero el resto de la población no. Lo siento mucho por ti”.
Es poco probable que la disculpa y las afirmaciones del atacante de eliminar los datos robados alivien las preocupaciones en torno al ataque, que ha sido descrito como la mayor violación jamás realizada en Australia.
Optus reveló por primera vez la infracción el 21 de septiembre, y en una serie de actualizaciones desde entonces ha descrito que afecta a los clientes actuales y anteriores de los clientes comerciales, móviles y de banda ancha de la compañía desde 2017 en adelante. Según la empresa, la infracción puede haber expuesto potencialmente los nombres de los clientes, las fechas de nacimiento, los números de teléfono, las direcciones de correo electrónico y, para un subconjunto de clientes, sus direcciones completas, información de la licencia de conducir o números de pasaporte.
Prácticas de seguridad de Optus bajo el microscopio
La violación ha avivado la preocupación por un fraude de identidad generalizado y empujó a Optus a, entre otras medidas, trabajar con diferentes gobiernos estatales australianos para discutir la posibilidad de cambiar los detalles de las licencias de conducir de las personas afectadas a costa de la empresa. “Cuando nos pongamos en contacto, colocaremos un crédito en su cuenta para cubrir cualquier costo de reemplazo relevante. Haremos esto automáticamente, por lo que no es necesario que se comuniquen con nosotros”, informó Optus a los clientes. "Si no tiene noticias nuestras, significa que no es necesario cambiar su licencia de conducir".
El compromiso de datos ha puesto las prácticas de seguridad de Optus directamente en el centro de atención, especialmente porque parece haber sido el resultado de un error fundamental. La Australian Broadcasting Corporation (ABC) el 22 de septiembre citó a una “figura importante” no identificada”dentro de Optus diciendo que el atacante básicamente pudo acceder a la base de datos a través de una interfaz de programación de aplicaciones (API) no autenticada.
El informante supuestamente le dijo a ABC que la base de datos de identidad del cliente en vivo a la que accedió el atacante estaba conectada a Internet a través de una API desprotegida. Se suponía que sólo los sistemas Optus autorizados utilizarían la API. Pero de alguna manera terminó quedando expuesto a una red de prueba, que resultó estar directamente conectada a Internet, dijo ABC citando a la fuente.
ABC y otros medios de comunicación describieron a la directora ejecutiva de Optus, Kelly Bayer Rosmarin, insistiendo en que la empresa fue víctima de un ataque sofisticado y que los datos a los que el atacante afirmó haber accedido estaban cifrados.
Si el informe sobre la API expuesta es cierto, Optus fue víctima de un error de seguridad que muchos otros cometen. "La autenticación de usuario rota es una de las vulnerabilidades de API más comunes", dice Adam Fisher, arquitecto de soluciones de Salt Security. "Los atacantes las buscan primero porque las API no autenticadas no requieren ningún esfuerzo para violarlas".
Las API abiertas o no autenticadas a menudo son el resultado de que el equipo de infraestructura, o el equipo que administra la autenticación, configura mal algo, dice. "Debido a que se necesita más de un equipo para ejecutar una aplicación, con frecuencia se producen problemas de comunicación", afirma Fisher. Señala que las API no autenticadas ocupan el segundo lugar en la lista de OWASP de las 10 principales vulnerabilidades de seguridad de API.
Un informe encargado por Imperva a principios de este año identificó que las empresas estadounidenses incurrían entre Pérdidas de 12 mil millones de dólares y 23 mil millones de dólares por compromisos vinculados a API solo en 2022. Otro estudio basado en encuestas que Cloudentity realizó el año pasado encontró El 44% de los encuestados afirmó que su organización había experimentado una fuga de datos. y otros problemas derivados de fallas de seguridad de API.
¿Atacante “asustado”?
El FBI no respondió de inmediato a una solicitud de comentarios de Dark Reading a través de la dirección de correo electrónico de su oficina de prensa nacional, pero el Guardian
y otros informaron que se había llamado a la agencia policial estadounidense para ayudar con la investigación. El Policía Federal Australiana, que está investigando la violación de Optus, dijo que estaba trabajando con las fuerzas del orden en el extranjero para localizar al individuo o grupo responsable.
Casey Ellis, fundador y director de tecnología de la empresa de recompensas por errores Bugcrowd, dice que el intenso escrutinio que la infracción ha recibido por parte del gobierno australiano, el público y las autoridades policiales puede haber asustado al atacante. "Es bastante raro que este tipo de interacción sea tan espectacular como lo ha sido ésta", afirma. "Comprometer a casi la mitad de la población de un país va a generar una atención muy intensa y poderosa, y los atacantes involucrados aquí claramente subestimaron esto".
Su respuesta sugiere que los actores de la amenaza son muy jóvenes y probablemente muy nuevos en la conducta criminal, al menos a esta escala, señala.
"Claramente, el gobierno australiano se ha tomado muy en serio esta infracción y está persiguiendo al atacante vorazmente", añade Fisher. “Esta fuerte respuesta podría haber tomado al atacante con la guardia baja” y probablemente le provocó dudas. “Sin embargo, lamentablemente los datos ya están a disposición del público. Una vez que una empresa aparece en noticias como esta, todos los piratas informáticos prestan atención”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
