نفوذ سایبری هفته گذشته به شرکت مخابراتی استرالیایی Optus، که حدود 10 میلیون مشتری دارد، خشم دولت این کشور را در مورد نحوه برخورد شرکت نقض شده با جزئیات شناسایی سرقت شده برانگیخته است.
تار وب تصاویر به سرعت پس از حمله، با یک زیرزمینی ظاهر شد انجمن های نقض کاربر با نام ساده صحبت می کند optusdata
ارائه دو بخش از داده ها، با این ادعا که آنها دو پایگاه داده به شرح زیر دارند:
11,200,000 سوابق کاربر با نام، تاریخ تولد، شماره موبایل و شناسه 4,232,652 سوابق شامل نوعی مدرک شناسایی شماره 3,664,598 از شناسه ها مربوط به گواهینامه رانندگی بوده است. از شناسنامه ها از گواهینامه رانندگی بود
فروشنده نوشت "اگر در حال خواندن هستید Optus! قیمتی که ما دادههای [sic] را نمیفروشیم 1,000,000 دلار آمریکا است! ما به شما 1 هفته فرصت می دهیم تا تصمیم بگیرید.»
به گفته فروشنده، خریداران معمولی میتوانند پایگاههای اطلاعاتی را به قیمت 300,000 دلار به عنوان یک شغل در اختیار داشته باشند، اگر Optus یک میلیون دلاری پیشنهاد «دسترسی انحصاری» خود را در طول هفته انجام ندهد.
فروشنده گفت که آنها انتظار پرداخت به شکل Monero را داشتند، یک ارز رمزنگاری محبوب که ردیابی آن سخت تر از بیت کوین است.
معاملات Monero هستند با هم مخلوط شدند بهعنوان بخشی از پروتکل پرداخت، اکوسیستم مونرو را به نوعی از کریپتوکوینساز یا ناشناس تبدیل میکند.
چه اتفاقی افتاده؟
خود نقض داده ظاهراً به دلیل از دست دادن امنیت چیزی است که در اصطلاح اصطلاحی به عنوان یک نقطه پایانی API. (API کوتاه شده است رابط برنامه نویسی کاربردی، روشی از پیش تعریف شده برای بخشی از یک برنامه یا مجموعه ای از برنامه ها برای درخواست نوعی سرویس یا بازیابی داده ها از دیگری.)
در وب، نقاط پایانی API معمولاً بهجای ارائهی یک صفحه وب، به شکل URLهای خاصی هستند که رفتار خاصی را تحریک میکنند یا دادههای درخواستی را برمیگردانند.
به عنوان مثال، یک URL مانند https://www.example.com/about
ممکن است به سادگی یک صفحه وب استاتیک را به شکل HTML بازخورد دهد، مانند:
About this site
This site is just an example, as the URL implies.
بنابراین، بازدید از URL با یک مرورگر منجر به صفحهای میشود که همانطور که انتظار دارید به نظر میرسد:
اما URL مانند https://api.example.com/userdata?id=23de6731e9a7
ممکن است یک رکورد پایگاه داده مخصوص کاربر مشخص شده را برگرداند، گویی یک فراخوانی تابع را در یک برنامه C در امتداد خطوط زیر انجام داده اید:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
با فرض وجود شناسه کاربر درخواستی در پایگاه داده، فراخوانی تابع معادل از طریق یک درخواست HTTP به نقطه پایانی ممکن است پاسخی در قالب JSON ایجاد کند، مانند این:
{ "userid" : "23de6731e9a7", "nickname" : "duck", "fullname" : "Paul Ducklin", "IDnum" : "42-4242424242" }
در یک API از این نوع، احتمالاً انتظار دارید چندین احتیاط امنیتی سایبری وجود داشته باشد، مانند:
- احراز هویت. هر درخواست وب ممکن است نیاز به یک هدر HTTP داشته باشد که یک کوکی جلسه تصادفی (غیرقابل حدس زدن) را مشخص می کند که برای کاربری صادر شده است که اخیراً هویت خود را ثابت کرده است، به عنوان مثال با نام کاربری، رمز عبور و کد 2FA. این نوع کوکی جلسه که معمولاً فقط برای مدت محدودی معتبر است، به عنوان یک مجوز دسترسی موقت برای درخواستهای جستجو که متعاقباً توسط کاربر تأیید شده از قبل انجام میشود، عمل میکند. بنابراین درخواستهای API از کاربران احراز هویت نشده یا ناشناس میتوانند فوراً رد شوند.
- محدودیت های دسترسی برای جستجوی پایگاه داده که ممکن است دادههای شناسایی شخصی (PII) مانند شماره شناسایی، آدرس خانه یا جزئیات کارت پرداخت را بازیابی کند، سروری که درخواستهای نقطه پایانی API را میپذیرد ممکن است برای فیلتر کردن درخواستهایی که مستقیماً از اینترنت میآیند، حفاظت در سطح شبکه اعمال کند. بنابراین یک مهاجم ابتدا باید یک سرور داخلی را به خطر بیندازد و نمیتواند مستقیماً از طریق اینترنت به جستجوی داده بپردازد.
- شناسه های پایگاه داده که به سختی قابل حدس زدن هستند. هر چند امنیت از طریق گمنامی (همچنین به عنوان "آنها هرگز آن را حدس نمی زنند" نیز شناخته می شود) یک مبنای زیربنایی ضعیف برای امنیت سایبری است، هیچ فایده ای برای ساده تر کردن کارها برای کلاهبرداران وجود ندارد. اگر یوزرید خودتان است
00000145
و شما می دانید که دوستی که بلافاصله پس از ثبت نام شما ثبت نام کرده است00000148
، پس حدس خوبی است که مقادیر معتبر userid از شروع می شوند00000001
و از آنجا به بالا بروید مقادیری که بهطور تصادفی تولید میشوند، اجرای حلقهای را که بارها و بارها برای بازیابی کاربرهای احتمالی تلاش میکند، برای مهاجمانی که قبلاً یک حفره در کنترل دسترسی شما پیدا کردهاند، دشوارتر میکند. - محدود کردن نرخ هر دنباله تکراری درخواست های مشابه را می توان به صورت یک IoC بالقوه یا استفاده کرد شاخص سازش. مجرمان سایبری که می خواهند 11,000,000،XNUMX،XNUMX آیتم پایگاه داده را دانلود کنند، معمولاً از یک رایانه با یک شماره IP واحد برای انجام کل کار استفاده نمی کنند، بنابراین حملات دانلود انبوه همیشه بلافاصله از طریق جریان های شبکه سنتی آشکار نمی شوند. اما آنها اغلب الگوها و نرخهایی از فعالیت تولید میکنند که به سادگی با آنچه شما انتظار دارید در زندگی واقعی ببینید، مطابقت ندارد.
ظاهراً تعداد کمی از این حفاظتها یا هیچکدام از این محافظتها در طول حمله Optus وجود نداشت، به ویژه از جمله اولین…
...به این معنی که مهاجم می توانست بدون نیاز به شناسایی خود به PII دسترسی پیدا کند، چه رسد به اینکه کد ورود به سیستم یا کوکی احراز هویت یک کاربر قانونی را بدزدد تا وارد شود.
به نظر می رسد به نحوی یک نقطه پایانی API با دسترسی به داده های حساس در اینترنت به طور گسترده باز شد، جایی که توسط یک مجرم سایبری کشف شد و برای استخراج اطلاعاتی که باید در پس نوعی پورتکلیس امنیت سایبری قرار می گرفت سوء استفاده کرد.
همچنین، اگر ادعای مهاجم مبنی بر بازیابی بیش از 20,000,000،XNUMX،XNUMX رکورد پایگاه داده از دو پایگاه داده قابل باور باشد، [a] فرض می کنیم که Optus userid
کدها به راحتی محاسبه یا حدس زدند، و [b] که هیچ اخطار «دسترسی به پایگاه داده به سطوح غیرعادی رسیده است» خاموش نشد.
متأسفانه، Optus در مورد چگونگی این کار کاملاً واضح نیست حمله آشکار شد، فقط گفت:
س. چگونه این اتفاق افتاد؟
A. Optus قربانی یک حمله سایبری شد. […]
س. آیا حمله متوقف شده است؟
A. بله. پس از کشف این موضوع، Optus بلافاصله حمله را خاموش کرد.
به عبارت دیگر، به نظر می رسد که «خاموش کردن حمله» مستلزم بستن حفره در برابر نفوذ بیشتر (مثلاً با مسدود کردن دسترسی به نقطه پایانی API احراز هویت نشده) به جای رهگیری حمله اولیه در اوایل پس از سرقت تعداد محدودی از رکوردها است. .
ما گمان میکنیم که اگر Optus حمله را در حالی که هنوز در جریان بود شناسایی میکرد، این شرکت در پرسشهای متداول خود بیان میکرد که کلاهبرداران قبل از قطع دسترسیشان چقدر فاصله داشتهاند.
بعدش چی؟
در مورد مشتریانی که شماره پاسپورت یا گواهینامه رانندگی آنها فاش شده است چطور؟
افشای شماره سند شناسایی، به جای جزئیات کاملتر خود سند (مانند یک اسکن با وضوح بالا یا یک کپی تایید شده)، چقدر برای قربانی نقض دادهها به این شکل خطر دارد؟
با توجه به اینکه این روزها چقدر به طور گسترده و مکرر آنها را به اشتراک می گذاریم، به تنهایی به شماره های شناسایی چقدر باید ارزش شناسایی بدهیم؟
به گفته دولت استرالیا، این خطر به اندازه ای قابل توجه است که به قربانیان نقض توصیه می شود اسناد آسیب دیده را جایگزین کنند.
و با احتمالاً میلیونها کاربر آسیبدیده، هزینههای تمدید سند به تنهایی میتواند به صدها میلیون دلار برسد و لغو و صدور مجدد بخش قابل توجهی از گواهینامههای رانندگی کشور را ضروری کند.
ما تخمین می زنیم که حدود 16 میلیون استرالیایی دارای مجوز هستند و تمایل دارند به جای همراه داشتن پاسپورت خود از آنها به عنوان شناسنامه در داخل استرالیا استفاده کنند. بنابراین، اگر optusdata
پوستر BreachForum حقیقت را می گفت، و نزدیک به 4 میلیون شماره مجوز به سرقت رفت، نزدیک به 25٪ از تمام مجوزهای استرالیا ممکن است نیاز به جایگزینی داشته باشند. ما نمی دانیم که این واقعاً چقدر می تواند در مورد گواهینامه های رانندگی استرالیایی که توسط ایالت ها و مناطق جداگانه صادر می شود مفید باشد. به عنوان مثال، در بریتانیا، شماره گواهینامه رانندگی شما کاملاً واضح است که به طور الگوریتمی از نام و تاریخ تولد شما مشتق شده است، با مقدار بسیار کمی از مخلوط کردن و فقط چند کاراکتر تصادفی درج شده است. بنابراین یک مجوز جدید یک شماره جدید دریافت می کند که بسیار شبیه به قبلی است.
کسانی که مجوز ندارند، یا بازدیدکنندگانی که سیم کارتهای Optus را بر اساس پاسپورت خارجی خریداری کردهاند، باید گذرنامههای خود را جایگزین کنند – هزینه تعویض پاسپورت استرالیا نزدیک به 193 دلار استرالیا، گذرنامه بریتانیا 75 تا 85 پوند است. تمدید ایالات متحده 130 تا 160 دلار است.
(مسئله زمان انتظار نیز وجود دارد: استرالیا در حال حاضر توصیه می کند که تعویض گذرنامه حداقل 6 هفته طول می کشد [2022-09-28T13:50Z]، و این بدون افزایش ناگهانی ناشی از پردازش های مربوط به نقض است؛ در بریتانیا، به دلیل دولت اعلیحضرت در حال حاضر به متقاضیان می گوید که 10 هفته برای تمدید گذرنامه فرصت دهند.)
چه کسی هزینه را بر عهده می گیرد؟
البته، اگر جایگزینی همه شناسههای بالقوه به خطر افتاده ضروری تلقی شود، سوال مهم این است: "چه کسی پرداخت خواهد کرد؟"
به گفته نخست وزیر استرالیا، آنتونی آلبانیز، هیچ شکی وجود ندارد که پول جایگزینی پاسپورت از کجا باید تامین شود:
امروز بعد از ظهر @albomp به روزرسانی مهمی در مورد نقض امنیتی Optus به مجلس ارائه کرد.
ما نه تنها از Optus برای گذرنامه های جایگزین برای افرادی که تحت تأثیر نقض قرار گرفته اند می خواهیم پرداخت کند، بلکه متعهد به تقویت قوانین حفظ حریم خصوصی خود از طریق بررسی قانون حفظ حریم خصوصی هستیم. pic.twitter.com/JyoRJxyM3p
- کلر اونیل MP (@ClareONEilMP) سپتامبر 28، 2022
هیچ سخنی از قانونگذار فدرال در مورد جایگزینی گواهینامه های رانندگی وجود ندارد، این موضوعی است که توسط دولت های ایالتی و منطقه ای رسیدگی می شود…
... و هیچ سخنی در مورد اینکه آیا «تعویض همه اسناد» به یک واکنش معمول تبدیل خواهد شد هر زمان که نقض اسناد شناسایی گزارش شود، چیزی که به راحتی می تواند خدمات عمومی را تحت تأثیر قرار دهد، با توجه به اینکه انتظار می رود مجوزها و پاسپورت ها معمولاً 10 سال طول بکشند.
این فضا را تماشا کنید - به نظر می رسد جالب شود!