Optuse rikkumine – Aussie telco teatas, et peab PlatoBlockchain Data Intelligence'i ID-de asendamise eest maksma. Vertikaalne otsing. Ai.

Optuse rikkumine – Aussie telco teatas, et peab ID-de asendamise eest maksma

Ajatempel: 28. september 2022 9:55

by
Paul Ducklin

Möödunud nädalal toimunud kübersissetung Austraalia telco Optusesse, millel on umbes 10 miljonit klienti, on pälvinud riigi valitsuse viha selle üle, kuidas rikkunud ettevõte peaks varastatud ID-andmetega hakkama saama.

Tume veeb ekraanipilte tõusis pärast rünnakut kiiresti pinnale maa-alusega Rikkumisfoorumid kasutaja, kes kasutab lihtsat nime optusdata pakkudes kahte andmeosa, väites, et neil on kaks järgmist andmebaasi:

  11,200,000 4,232,652 3,664,598 kasutajakirjet nime, sünnikuupäeva, mobiilinumbri ja ID-ga 10,000,000 3,817,197 3,238,014 kirjet sisaldas mingisugust isikut tõendavat dokumenti number XNUMX XNUMX XNUMX ID-d olid juhilubadest XNUMX XNUMX XNUMX aadressikirjet e-posti, sünnikuupäeva, ID ja muuga XNUMX number isikutunnistustest pärinesid juhilubadest

Müüja kirjutas, „Optus, kui loed! Hind, kui me ei müü [sic] andmeid, on 1,000,000 1 XNUMX USA dollarit! Anname teile otsustamiseks XNUMX nädala.”

Müüja sõnul võivad tavaostjad saada andmebaase 300,000 1 dollari eest, kui Optus ei võta nädala jooksul oma XNUMX miljoni dollari suurust eksklusiivse juurdepääsu pakkumist.

Müüja ütles, et nad ootasid makset Monero vormis, populaarse krüptovaluutana, mida on raskem jälgida kui Bitcoini.

Monero tehingud on kokku segatud osana makseprotokollist, muutes Monero ökosüsteemi omamoodi krüptomündi trumliks või anonüümseks muutjaks.

Mis juhtus?

Andmerikkumine ise oli ilmselt tingitud turvalisuse puudumisest selle kohta, mida žargoonis nimetatakse an API lõpp-punkt. (API on lühend sõnadest rakenduste programmeerimisliides, eelmääratletud viis rakenduse ühe osa või rakenduste kogu jaoks, et taotleda mõnda tüüpi teenust või hankida andmeid teisest.)

Veebis on API lõpp-punktid tavaliselt spetsiaalsete URL-ide kujul, mis käivitavad konkreetse käitumise või tagastavad nõutud andmed, selle asemel, et lihtsalt veebilehte esitada.

Näiteks URL nagu https://www.example.com/about võib lihtsalt staatilisele veebilehele HTML-vormingus tagasisidet anda, näiteks:

  
    
       
About this site

       
This site is just an example, as the URL implies.

URL-i külastamine brauseriga toob seega kaasa veebilehe, mis näeb välja ootuspärane:

Aga URL nagu https://api.example.com/userdata?id=23de­6731­e9a7 võib tagastada määratud kasutajale spetsiifilise andmebaasikirje, nagu oleksite C-programmis funktsioonikutse teinud järgmiselt:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Eeldades, et taotletud kasutaja ID on andmebaasis olemas, võib samaväärse funktsiooni kutsumine HTTP päringu kaudu lõpp-punktile anda vastuse JSON-vormingus, näiteks järgmiselt: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

Seda tüüpi API puhul eeldaksite tõenäoliselt mitmete küberturvalisuse ettevaatusabinõude rakendamist, näiteks:

  • Autentimine. Iga veebipäring peab võib-olla sisaldama HTTP-päist, mis määrab juhusliku (arvamatu) seansiküpsise, mis väljastatakse kasutajale, kes on hiljuti oma identiteeti tõestanud (nt kasutajanime, parooli ja 2FA-koodiga). Seda tüüpi seansiküpsis, mis kehtib tavaliselt ainult piiratud aja, toimib ajutise juurdepääsupääsuna eelautentitud kasutaja sooritatavatele otsingupäringutele. Seetõttu saab autentimata või tundmatute kasutajate API taotlused kohe tagasi lükata.
  • Juurdepääsupiirangud. Andmebaasi otsingute jaoks, mis võivad hankida isikut tuvastavaid andmeid (PII), nagu ID-numbrid, koduaadressid või maksekaardi üksikasjad, võib API lõpp-punkti päringuid vastuvõttev server rakendada võrgutasemel kaitset, et filtreerida välja otse Internetist tulevad päringud. Ründaja peaks seetõttu esmalt ohustama sisemist serverit ja ei saa andmeid otse Interneti kaudu otsida.
  • Raskesti äraarvatavad andmebaasi identifikaatorid. Kuigi turvalisus pimeduse kaudu (tuntud ka kui "nad ei arva seda kunagi") on küberturvalisuse kehv alus, pole mõtet kelmide jaoks asju lihtsamaks teha. Kui teie enda kasutajatunnus on 00000145, ja teate, et sõber, kes registreerus vahetult pärast seda, kui saite 00000148, siis on hea oletus, et kehtivad kasutajatunnuse väärtused algavad kohast 00000001 ja mine sealt üles. Juhuslikult genereeritud väärtused raskendavad ründajatel, kes on teie juurdepääsukontrollis juba lünga leidnud, käivitada tsükli, mis proovib ikka ja jälle tõenäolisi kasutajatunnuseid hankida.
  • Kiiruse piiramine. Kasutada võib mis tahes korduvat sarnaste päringute jada aa potentsiaalset IoC-d või kompromissi näitaja. Küberkurjategijad, kes soovivad alla laadida 11,000,000 XNUMX XNUMX andmebaasiüksust, ei kasuta üldjuhul kogu töö tegemiseks ühte arvutit, millel on üks IP-number, nii et hulgiallalaadimise rünnakud ei ole alati lihtsalt traditsiooniliste võrguvoogude puhul koheselt nähtavad. Kuid need loovad sageli mustreid ja aktiivsuse määrasid, mis lihtsalt ei vasta sellele, mida võiksite näha päriselus.

Ilmselt oli Optuse rünnaku ajal nendest kaitsevahenditest vähe või üldse mitte ühtegi, eriti sealhulgas esimest…

…see tähendab, et ründajal oli juurdepääs isikuandmetele ilma, et oleks vaja end üldse tuvastada, rääkimata seadusliku kasutaja sisselogimiskoodi või autentimisküpsise varastamisest.

Tundub, et mingil moel avati tundlikele andmetele juurdepääsuga API lõpp-punkt Internetile laiemalt, kus küberkurjategija selle avastas ja seda kuritarvitas, et hankida teavet, mis oleks pidanud olema mingisuguse küberturvalisuse portkulli taga.

Samuti, kui uskuda ründaja väidet, et ta on kahest andmebaasist kokku toonud rohkem kui 20,000,000 XNUMX XNUMX andmebaasikirjet, siis eeldame [a], et Optus userid koodid olid kergesti arvutatavad või äraarvatavad ja [b], et ükski hoiatus „andmebaasidele juurdepääs ei ole saavutanud ebatavalist taset” ei läinud tööle.

Kahjuks pole Optus olnud väga selge, kuidas rünnak avanes, öeldes lihtsalt:

K. Kuidas see juhtus?

A. Optus langes küberrünnaku ohvriks. […]

K. Kas rünnak on peatatud?

A. Jah. Selle avastades sulges Optus rünnaku kohe.

Teisisõnu näib, et "ründe väljalülitamine" hõlmas lünga sulgemist edasise sissetungi eest (nt blokeerides juurdepääsu autentimata API lõpp-punktile), selle asemel et peatada algne rünnak varakult pärast seda, kui vaid piiratud arv kirjeid oli varastatud. .

Me kahtlustame, et kui Optus oleks rünnaku avastanud, kui see oli veel pooleli, oleks ettevõte oma KKK-s teatanud, kui kaugele kelmid olid jõudnud enne nende juurdepääsu sulgemist.

Mis järgmine?

Kuidas on lood klientidega, kelle passi või juhiloa numbrid avalikustati?

Kui suurt ohtu kujutab sellise andmerikkumise ohvrile isikut tõendava dokumendi numbri lekkimine, mitte dokumendi enda täielikumate üksikasjade (nt kõrge eraldusvõimega skannimine või kinnitatud koopia) lekkimine?

Kui palju identifitseerimisväärtust peaksime andma ainult ID-numbritele, arvestades, kui laialt ja sageli me neid tänapäeval jagame?

Austraalia valitsuse sõnul on oht piisavalt suur, et rikkumise ohvritel soovitatakse mõjutatud dokumendid välja vahetada.

Ja võib-olla miljonite mõjutatud kasutajate korral võivad ainuüksi dokumentide uuendamise tasud ulatuda sadadesse miljonitesse dollaritesse ning tingida olulise osa riigi juhilubade tühistamise ja uuesti väljastamise.

Meie hinnangul on umbes 16 miljonil austraallasel litsentsid ja nad kalduvad kasutama neid Austraalias ID-na, selle asemel, et passi kaasas kanda. Seega, kui optusdata BreachForumi plakat rääkis tõtt ja ligi 4 miljonit litsentsinumbrit varastati, peaaegu 25% kõigist Austraalia litsentsidest võib vajada väljavahetamist. Me ei tea, kui kasulik see võib olla Austraalia juhilubade puhul, mida annavad välja üksikud osariigid ja territooriumid. Näiteks Ühendkuningriigis on teie juhiloa number üsna ilmselgelt tuletatud algoritmiliselt teie nime ja sünnikuupäeva põhjal, segades väga tagasihoidlikult ja sisestatud on vaid mõned juhuslikud tähemärgid. Uus litsents saab seega uue numbri, mis on eelmisega väga sarnane.

Litsentsita inimesed või külastajad, kes ostsid Optusest SIM-kaardi välispassi alusel, peaksid oma passi asemel välja vahetama – Austraalia passi asendamine maksab ligi 193 Austraalia dollarit, Ühendkuningriigi pass 75–85 naela ja USA uuendamine on $ 130 kuni $ 160.

(Samuti on küsimus ooteaegades: praegu soovitab Austraalia, et passi asendamine võtab aega vähemalt 6 nädalat [2022-09-28T13:50Z] ja seda ilma rikkumisega seotud töötlemisest põhjustatud järsu hüppeta; Ühendkuningriigis Olemasolevate mahajäämuste tõttu käsib Tema Majesteedi valitsus taotlejatel anda passi uuendamiseks aega 10 nädalat.)

Kes kannab kulud?

Muidugi, kui kõigi potentsiaalselt ohustatud ID-de väljavahetamist peetakse vajalikuks, on põletav küsimus muidugi, "Kes maksab?"

Austraalia peaministri Anthony Albanese sõnul pole kahtlust, kust peaks tulema raha passide asendamiseks:

Föderaalseadusandja ei ole saanud ühtegi sõna juhilubade asendamise kohta, kuna sellega tegelevad osariigi ja territooriumi valitsused…

…ja pole ühtegi sõna selle kohta, kas "kõikide dokumentide väljavahetamine" muutub rutiinseks reaktsiooniks iga kord, kui teatatakse isikut tõendava dokumendiga seotud rikkumisest, mis võib avaliku teenuse kergesti uputada, kuna litsentsid ja passid peavad tavaliselt kehtima 10 aastat.

Vaadake seda ruumi – see näib olevat huvitav!

Ajatempel:

Veel alates Alasti turvalisus