نقض Optus - Aussie telco گفت که باید برای جایگزینی شناسه ها هزینه بپردازد

نفوذ سایبری هفته گذشته به شرکت مخابراتی استرالیایی Optus، که حدود 10 میلیون مشتری دارد، خشم دولت این کشور را در مورد نحوه برخورد شرکت نقض شده با جزئیات شناسایی سرقت شده برانگیخته است.

تار وب تصاویر به سرعت پس از حمله، با یک زیرزمینی ظاهر شد انجمن های نقض کاربر با نام ساده صحبت می کند optusdata ارائه دو بخش از داده ها، با این ادعا که آنها دو پایگاه داده به شرح زیر دارند:

  11,200,000 سوابق کاربر با نام، تاریخ تولد، شماره موبایل و شناسه 4,232,652 سوابق شامل نوعی مدرک شناسایی شماره 3,664,598 از شناسه ها مربوط به گواهینامه رانندگی بوده است. از شناسنامه ها از گواهینامه رانندگی بود

فروشنده نوشت "اگر در حال خواندن هستید Optus! قیمتی که ما داده‌های [sic] را نمی‌فروشیم 1,000,000 دلار آمریکا است! ما به شما 1 هفته فرصت می دهیم تا تصمیم بگیرید.»

به گفته فروشنده، خریداران معمولی می‌توانند پایگاه‌های اطلاعاتی را به قیمت 300,000 دلار به عنوان یک شغل در اختیار داشته باشند، اگر Optus یک میلیون دلاری پیشنهاد «دسترسی انحصاری» خود را در طول هفته انجام ندهد.

فروشنده گفت که آنها انتظار پرداخت به شکل Monero را داشتند، یک ارز رمزنگاری محبوب که ردیابی آن سخت تر از بیت کوین است.

معاملات Monero هستند با هم مخلوط شدند به‌عنوان بخشی از پروتکل پرداخت، اکوسیستم مونرو را به نوعی از کریپتوکوین‌ساز یا ناشناس تبدیل می‌کند.

چه اتفاقی افتاده؟

خود نقض داده ظاهراً به دلیل از دست دادن امنیت چیزی است که در اصطلاح اصطلاحی به عنوان یک نقطه پایانی API. (API کوتاه شده است رابط برنامه نویسی کاربردی، روشی از پیش تعریف شده برای بخشی از یک برنامه یا مجموعه ای از برنامه ها برای درخواست نوعی سرویس یا بازیابی داده ها از دیگری.)

در وب، نقاط پایانی API معمولاً به‌جای ارائه‌ی یک صفحه وب، به شکل URL‌های خاصی هستند که رفتار خاصی را تحریک می‌کنند یا داده‌های درخواستی را برمی‌گردانند.

به عنوان مثال، یک URL مانند https://www.example.com/about ممکن است به سادگی یک صفحه وب استاتیک را به شکل HTML بازخورد دهد، مانند:

  
    
       
About this site
       
This site is just an example, as the URL implies.
    
   

بنابراین، بازدید از URL با یک مرورگر منجر به صفحه‌ای می‌شود که همانطور که انتظار دارید به نظر می‌رسد:

اما URL مانند https://api.example.com/userdata?id=23de­6731­e9a7 ممکن است یک رکورد پایگاه داده مخصوص کاربر مشخص شده را برگرداند، گویی یک فراخوانی تابع را در یک برنامه C در امتداد خطوط زیر انجام داده اید:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

با فرض وجود شناسه کاربر درخواستی در پایگاه داده، فراخوانی تابع معادل از طریق یک درخواست HTTP به نقطه پایانی ممکن است پاسخی در قالب JSON ایجاد کند، مانند این:

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

در یک API از این نوع، احتمالاً انتظار دارید چندین احتیاط امنیتی سایبری وجود داشته باشد، مانند:

• احراز هویت. هر درخواست وب ممکن است نیاز به یک هدر HTTP داشته باشد که یک کوکی جلسه تصادفی (غیرقابل حدس زدن) را مشخص می کند که برای کاربری صادر شده است که اخیراً هویت خود را ثابت کرده است، به عنوان مثال با نام کاربری، رمز عبور و کد 2FA. این نوع کوکی جلسه که معمولاً فقط برای مدت محدودی معتبر است، به عنوان یک مجوز دسترسی موقت برای درخواست‌های جستجو که متعاقباً توسط کاربر تأیید شده از قبل انجام می‌شود، عمل می‌کند. بنابراین درخواست‌های API از کاربران احراز هویت نشده یا ناشناس می‌توانند فوراً رد شوند.
• محدودیت های دسترسی برای جستجوی پایگاه داده که ممکن است داده‌های شناسایی شخصی (PII) مانند شماره شناسایی، آدرس خانه یا جزئیات کارت پرداخت را بازیابی کند، سروری که درخواست‌های نقطه پایانی API را می‌پذیرد ممکن است برای فیلتر کردن درخواست‌هایی که مستقیماً از اینترنت می‌آیند، حفاظت در سطح شبکه اعمال کند. بنابراین یک مهاجم ابتدا باید یک سرور داخلی را به خطر بیندازد و نمی‌تواند مستقیماً از طریق اینترنت به جستجوی داده بپردازد.
• شناسه های پایگاه داده که به سختی قابل حدس زدن هستند. هر چند امنیت از طریق گمنامی (همچنین به عنوان "آنها هرگز آن را حدس نمی زنند" نیز شناخته می شود) یک مبنای زیربنایی ضعیف برای امنیت سایبری است، هیچ فایده ای برای ساده تر کردن کارها برای کلاهبرداران وجود ندارد. اگر یوزرید خودتان است 00000145و شما می دانید که دوستی که بلافاصله پس از ثبت نام شما ثبت نام کرده است 00000148، پس حدس خوبی است که مقادیر معتبر userid از شروع می شوند 00000001 و از آنجا به بالا بروید مقادیری که به‌طور تصادفی تولید می‌شوند، اجرای حلقه‌ای را که بارها و بارها برای بازیابی کاربرهای احتمالی تلاش می‌کند، برای مهاجمانی که قبلاً یک حفره در کنترل دسترسی شما پیدا کرده‌اند، دشوارتر می‌کند.
• محدود کردن نرخ هر دنباله تکراری درخواست های مشابه را می توان به صورت یک IoC بالقوه یا استفاده کرد شاخص سازش. مجرمان سایبری که می خواهند 11,000,000،XNUMX،XNUMX آیتم پایگاه داده را دانلود کنند، معمولاً از یک رایانه با یک شماره IP واحد برای انجام کل کار استفاده نمی کنند، بنابراین حملات دانلود انبوه همیشه بلافاصله از طریق جریان های شبکه سنتی آشکار نمی شوند. اما آنها اغلب الگوها و نرخ‌هایی از فعالیت تولید می‌کنند که به سادگی با آنچه شما انتظار دارید در زندگی واقعی ببینید، مطابقت ندارد.

ظاهراً تعداد کمی از این حفاظت‌ها یا هیچ‌کدام از این محافظت‌ها در طول حمله Optus وجود نداشت، به ویژه از جمله اولین…

...به این معنی که مهاجم می توانست بدون نیاز به شناسایی خود به PII دسترسی پیدا کند، چه رسد به اینکه کد ورود به سیستم یا کوکی احراز هویت یک کاربر قانونی را بدزدد تا وارد شود.

به نظر می رسد به نحوی یک نقطه پایانی API با دسترسی به داده های حساس در اینترنت به طور گسترده باز شد، جایی که توسط یک مجرم سایبری کشف شد و برای استخراج اطلاعاتی که باید در پس نوعی پورتکلیس امنیت سایبری قرار می گرفت سوء استفاده کرد.

همچنین، اگر ادعای مهاجم مبنی بر بازیابی بیش از 20,000,000،XNUMX،XNUMX رکورد پایگاه داده از دو پایگاه داده قابل باور باشد، [a] فرض می کنیم که Optus userid کدها به راحتی محاسبه یا حدس زدند، و [b] که هیچ اخطار «دسترسی به پایگاه داده به سطوح غیرعادی رسیده است» خاموش نشد.

متأسفانه، Optus در مورد چگونگی این کار کاملاً واضح نیست حمله آشکار شد، فقط گفت:

س. چگونه این اتفاق افتاد؟

A. Optus قربانی یک حمله سایبری شد. […]

س. آیا حمله متوقف شده است؟

A. بله. پس از کشف این موضوع، Optus بلافاصله حمله را خاموش کرد.

به عبارت دیگر، به نظر می رسد که «خاموش کردن حمله» مستلزم بستن حفره در برابر نفوذ بیشتر (مثلاً با مسدود کردن دسترسی به نقطه پایانی API احراز هویت نشده) به جای رهگیری حمله اولیه در اوایل پس از سرقت تعداد محدودی از رکوردها است. .

ما گمان می‌کنیم که اگر Optus حمله را در حالی که هنوز در جریان بود شناسایی می‌کرد، این شرکت در پرسش‌های متداول خود بیان می‌کرد که کلاهبرداران قبل از قطع دسترسی‌شان چقدر فاصله داشته‌اند.

بعدش چی؟

در مورد مشتریانی که شماره پاسپورت یا گواهینامه رانندگی آنها فاش شده است چطور؟

افشای شماره سند شناسایی، به جای جزئیات کاملتر خود سند (مانند یک اسکن با وضوح بالا یا یک کپی تایید شده)، چقدر برای قربانی نقض داده‌ها به این شکل خطر دارد؟

با توجه به اینکه این روزها چقدر به طور گسترده و مکرر آنها را به اشتراک می گذاریم، به تنهایی به شماره های شناسایی چقدر باید ارزش شناسایی بدهیم؟

به گفته دولت استرالیا، این خطر به اندازه ای قابل توجه است که به قربانیان نقض توصیه می شود اسناد آسیب دیده را جایگزین کنند.

و با احتمالاً میلیون‌ها کاربر آسیب‌دیده، هزینه‌های تمدید سند به تنهایی می‌تواند به صدها میلیون دلار برسد و لغو و صدور مجدد بخش قابل توجهی از گواهینامه‌های رانندگی کشور را ضروری کند.

ما تخمین می زنیم که حدود 16 میلیون استرالیایی دارای مجوز هستند و تمایل دارند به جای همراه داشتن پاسپورت خود از آنها به عنوان شناسنامه در داخل استرالیا استفاده کنند. بنابراین، اگر optusdata پوستر BreachForum حقیقت را می گفت، و نزدیک به 4 میلیون شماره مجوز به سرقت رفت، نزدیک به 25٪ از تمام مجوزهای استرالیا ممکن است نیاز به جایگزینی داشته باشند. ما نمی دانیم که این واقعاً چقدر می تواند در مورد گواهینامه های رانندگی استرالیایی که توسط ایالت ها و مناطق جداگانه صادر می شود مفید باشد. به عنوان مثال، در بریتانیا، شماره گواهینامه رانندگی شما کاملاً واضح است که به طور الگوریتمی از نام و تاریخ تولد شما مشتق شده است، با مقدار بسیار کمی از مخلوط کردن و فقط چند کاراکتر تصادفی درج شده است. بنابراین یک مجوز جدید یک شماره جدید دریافت می کند که بسیار شبیه به قبلی است.

کسانی که مجوز ندارند، یا بازدیدکنندگانی که سیم کارت‌های Optus را بر اساس پاسپورت خارجی خریداری کرده‌اند، باید گذرنامه‌های خود را جایگزین کنند – هزینه تعویض پاسپورت استرالیا نزدیک به 193 دلار استرالیا، گذرنامه بریتانیا 75 تا 85 پوند است. تمدید ایالات متحده 130 تا 160 دلار است.

(مسئله زمان انتظار نیز وجود دارد: استرالیا در حال حاضر توصیه می کند که تعویض گذرنامه حداقل 6 هفته طول می کشد [2022-09-28T13:50Z]، و این بدون افزایش ناگهانی ناشی از پردازش های مربوط به نقض است؛ در بریتانیا، به دلیل دولت اعلیحضرت در حال حاضر به متقاضیان می گوید که 10 هفته برای تمدید گذرنامه فرصت دهند.)

چه کسی هزینه را بر عهده می گیرد؟

البته، اگر جایگزینی همه شناسه‌های بالقوه به خطر افتاده ضروری تلقی شود، سوال مهم این است: "چه کسی پرداخت خواهد کرد؟"

به گفته نخست وزیر استرالیا، آنتونی آلبانیز، هیچ شکی وجود ندارد که پول جایگزینی پاسپورت از کجا باید تامین شود:

امروز بعد از ظهر @albomp به روزرسانی مهمی در مورد نقض امنیتی Optus به مجلس ارائه کرد.

ما نه تنها از Optus برای گذرنامه های جایگزین برای افرادی که تحت تأثیر نقض قرار گرفته اند می خواهیم پرداخت کند، بلکه متعهد به تقویت قوانین حفظ حریم خصوصی خود از طریق بررسی قانون حفظ حریم خصوصی هستیم. pic.twitter.com/JyoRJxyM3p

- کلر اونیل MP (@ClareONEilMP) سپتامبر 28، 2022

هیچ سخنی از قانونگذار فدرال در مورد جایگزینی گواهینامه های رانندگی وجود ندارد، این موضوعی است که توسط دولت های ایالتی و منطقه ای رسیدگی می شود…

... و هیچ سخنی در مورد اینکه آیا «تعویض همه اسناد» به یک واکنش معمول تبدیل خواهد شد هر زمان که نقض اسناد شناسایی گزارش شود، چیزی که به راحتی می تواند خدمات عمومی را تحت تأثیر قرار دهد، با توجه به اینکه انتظار می رود مجوزها و پاسپورت ها معمولاً 10 سال طول بکشند.

این فضا را تماشا کنید - به نظر می رسد جالب شود!

---