Viime viikolla tapahtunut kybertunkeutuminen australialaiseen puhelinyhtiö Optukseen, jolla on noin 10 miljoonaa asiakasta, on herättänyt maan hallituksen vihaa siitä, kuinka murtautuneen yrityksen tulisi käsitellä varastettuja henkilöllisyystietoja.
Darkweb kuvakaappauksia nousi nopeasti pintaan hyökkäyksen jälkeen maanalaisella Rikkomusfoorumit käyttäjä käyttää selkeää nimeä optusdata tarjosi kaksi tietoerää väittäen, että heillä oli kaksi tietokantaa seuraavasti:
11,200,000 4,232,652 3,664,598 käyttäjätietuetta, joissa oli nimi, syntymäaika, matkapuhelinnumero ja ID 10,000,000 3,817,197 3,238,014 tietueet sisälsivät jonkinlaisen henkilötodistuksen numero XNUMX XNUMX XNUMX tunnuksista olivat ajokorteista XNUMX XNUMX XNUMX osoitetietuetta sähköpostilla, syntymäaika, henkilöllisyystodistus ja muuta henkilökorteista oli ajokortista
Myyjä kirjoitti, "Optus jos luet! Hinta, jos emme myy [sic] dataa, on 1,000,000 1 XNUMX $ US! Annamme sinulle viikon aikaa päättää."
Tavallisilla ostajilla, myyjä sanoi, voisivat saada tietokannat 300,000 1 dollarilla työpaikkana, jos Optus ei käyttäisi miljoonan dollarin "yksinomaista pääsyä" tarjoukseensa viikon sisällä.
Myyjä sanoi odottavansa maksun Moneron muodossa, joka on suosittu kryptovaluutta, jota on vaikeampi jäljittää kuin Bitcoinia.
Monero-tapahtumat ovat sekoitettu keskenään osana maksuprotokollaa, mikä tekee Moneron ekosysteemistä eräänlaisen kryptokolikoiden juottajan tai anonymisoijan.
Mitä tapahtui?
Tietomurto itsessään johtui ilmeisesti tietoturvan puutteesta, joka tunnetaan ammattikieltä API-päätepiste. (API on lyhenne sanoista sovellusohjelmointirajapinta, ennalta määritetty tapa sovelluksen yhdelle osalle tai sovelluskokoelmalle pyytää jonkinlaista palvelua tai hakea tietoja toisesta.)
Verkossa API-päätepisteet ovat yleensä erityisiä URL-osoitteita, jotka käynnistävät tietyn toiminnan tai palauttavat pyydetyt tiedot sen sijaan, että ne näyttäisivät vain verkkosivua.
Esimerkiksi URL-osoite https://www.example.com/about saattaa yksinkertaisesti palauttaa staattisen verkkosivun HTML-muodossa, kuten:
About this site
This site is just an example, as the URL implies.
URL-osoitteessa vieraileminen selaimella johtaisi siksi verkkosivuun, joka näyttää odotetulta:
Mutta URL, kuten https://api.example.com/userdata?id=23de6731e9a7 saattaa palauttaa tietylle käyttäjälle ominaisen tietokantatietueen, ikään kuin olisit tehnyt funktiokutsun C-ohjelmassa seuraavasti:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
Olettaen, että pyydetty käyttäjätunnus oli tietokannassa, vastaavan funktion kutsuminen HTTP-pyynnön kautta päätepisteeseen saattaa tuottaa vastauksen JSON-muodossa, kuten seuraava:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
Tämän tyyppisessä API:ssa luultavasti odotat useiden kyberturvallisuustoimenpiteiden olevan käytössä, kuten:
- Todennus. Jokaiseen verkkopyyntöön on ehkä sisällytettävä HTTP-otsikko, joka määrittää satunnaisen (arvaamattoman) istunnon evästeen, joka on lähetetty käyttäjälle, joka on äskettäin todistanut henkilöllisyytensä, esimerkiksi käyttäjätunnuksella, salasanalla ja 2FA-koodilla. Tämäntyyppinen istuntoeväste, joka on tyypillisesti voimassa vain rajoitetun ajan, toimii tilapäisenä pääsylippana esitodennetun käyttäjän myöhemmin suorittamiin hakupyyntöihin. API-pyynnöt todentamattomilta tai tuntemattomilta käyttäjiltä voidaan siksi hylätä välittömästi.
- Pääsyrajoitukset. Tietokantahauissa, jotka saattavat hakea henkilökohtaisia tunnistetietoja (PII), kuten ID-numeroita, kotiosoitteita tai maksukorttitietoja, API-päätepistepyyntöjä hyväksyvä palvelin saattaa määrätä verkkotason suojauksen suodattaakseen suoraan Internetistä tulevat pyynnöt. Hyökkääjän on siksi ensin murtauduttava sisäiseen palvelimeen, eikä hän pystyisi etsimään tietoja suoraan Internetin kautta.
- Vaikeasti arvattavat tietokantatunnisteet. Vaikka turvallisuus hämärtymän kautta (tunnetaan myös nimellä "he eivät koskaan arvaa sitä") on huono pohja kyberturvallisuudelle, ei ole mitään järkeä tehdä roistoista helpompaa kuin on. Jos oma käyttäjätunnuksesi on
00000145, ja tiedät, että ystävä, joka rekisteröityi heti sen jälkeen, kun sait00000148, niin se on hyvä arvaus, että kelvolliset userid-arvot alkavat kohdasta00000001ja mene sieltä ylös. Satunnaisesti luodut arvot vaikeuttavat hyökkääjien, jotka ovat jo löytäneet porsaanreiän pääsynhallinnassasi, suorittamasta silmukkaa, joka yrittää yhä uudelleen noutaa todennäköisiä käyttäjätunnuksia. - Nopeuden rajoittaminen. Mitä tahansa toistuvaa samankaltaisten pyyntöjen sarjaa voidaan käyttää mahdollisena IoC:nä tai kompromissin indikaattori. Kyberrikolliset, jotka haluavat ladata 11,000,000 XNUMX XNUMX tietokantakohdetta, eivät yleensä käytä yhtä tietokonetta yhdellä IP-numerolla koko työn suorittamiseen, joten joukkolataushyökkäykset eivät aina ole heti ilmeisiä vain perinteisistä verkkovirroista. Mutta ne luovat usein toimintamalleja ja -asteita, jotka eivät yksinkertaisesti vastaa sitä, mitä odotat näkeväsi todellisessa elämässä.
Ilmeisesti muutama tai ei ollenkaan näistä suojauksista ollut käytössä Optus-hyökkäyksen aikana, varsinkin mukaan lukien ensimmäinen…
…tarkoittaa, että hyökkääjä pääsi käsiksi henkilökohtaisiin tunnistetietoihin ilman, että hänen tarvitsee koskaan tunnistaa itseään, saati sitten varastaa laillisen käyttäjän kirjautumiskoodia tai todennusevästettä päästäkseen sisään.
Jotenkin näyttää siltä, että API-päätepiste, joka tarjoaa pääsyn arkaluontoisiin tietoihin, avattiin Internetiin yleisesti, missä kyberrikollinen löysi sen ja käytti sitä väärin saadakseen tietoa, jonka olisi pitänyt olla jonkinlaisen kyberturvallisuuden portkullan takana.
Lisäksi, jos hyökkääjän väite siitä, että hän on hakenut yhteensä yli 20,000,000 XNUMX XNUMX tietokantatietuetta kahdesta tietokannasta, on uskottava, oletamme [a], että Optus userid koodit oli helppo laskea tai arvata, ja [b] "tietokantaan pääsy ei ole saavuttanut epätavallista" varoitus meni.
Valitettavasti Optus ei ole ollut kovin selkeä siitä, miten hyökkäys avautui, sanoen vain:
K. Kuinka tämä tapahtui?
A. Optus joutui kyberhyökkäyksen uhriksi. […]
K. Onko hyökkäys pysäytetty?
A. Kyllä. Tämän havaittuaan Optus sulki hyökkäyksen välittömästi.
Toisin sanoen näyttää siltä, että "hyökkäyksen pysäyttäminen" sisälsi porsaanreiän sulkemisen lisätunkeutumista vastaan (esim. estämällä pääsy todentamattomaan API-päätepisteeseen) sen sijaan, että ensimmäinen hyökkäys olisi siepattu varhaisessa vaiheessa, kun vain rajoitettu määrä tietueita oli varastettu. .
Epäilemme, että jos Optus olisi havainnut hyökkäyksen sen ollessa vielä käynnissä, yritys olisi ilmoittanut usein kysytyissä kysymyksissään, kuinka pitkälle roistot olivat päässeet ennen kuin heidän pääsynsä suljettiin.
Mitä seuraavaksi?
Entä asiakkaat, joiden passin tai ajokortin numerot paljastettiin?
Kuinka suuren riskin henkilöllisyystodistuksen numeron vuotaminen itse asiakirjan täydellisempien tietojen (kuten korkearesoluutioinen skannaus tai oikeaksi todistettu kopio) sijaan aiheuttaa tällaisen tietomurron uhrille?
Kuinka paljon tunnistearvoa meidän pitäisi antaa pelkästään tunnusnumeroille, kun otetaan huomioon, kuinka laajasti ja usein jaamme niitä nykyään?
Australian hallituksen mukaan riski on niin merkittävä, että loukkauksen uhreja kehotetaan vaihtamaan asiakirjoja.
Ja mahdollisesti miljoonia käyttäjiä, asiakirjojen uusimismaksut voivat nousta satoihin miljooniin dollareihin ja vaatia merkittävän osan maan ajokorteista mitätöimistä ja myöntämistä uudelleen.
Arvioimme, että noin 16 miljoonalla australialaisella on lisenssi, ja he ovat taipuvaisia käyttämään niitä henkilöllisyystodistuksena Australiassa sen sijaan, että he kantaisivat mukanaan passejaan. Joten, jos optusdata BreachForum-juliste kertoi totuuden, ja lähes 4 miljoonaa lisenssinumeroa varastettiin, lähes 25 % kaikista australialaisista lisensseistä on ehkä vaihdettava. Emme tiedä, kuinka hyödyllistä tämä voi itse asiassa olla yksittäisten osavaltioiden ja alueiden myöntämien australialaisten ajokorttien tapauksessa. Esimerkiksi Isossa-Britanniassa ajokorttisi numero on selkeästi johdettu algoritmisesti nimestäsi ja syntymäajastasi, ja siinä on hyvin vaatimatonta sekoitusta ja vain muutama satunnainen merkki. Uusi lisenssi saa siis uuden numeron, joka on hyvin samanlainen kuin edellinen.
Niiden, joilla ei ole lupaa tai vierailijat, jotka ovat ostaneet SIM-kortteja Optuksesta ulkomaisen passin perusteella, joutuisivat vaihtamaan passinsa – Australian passin vaihto maksaa lähes 193 Australian dollaria, Iso-Britannian passi 75–85 puntaa, ja Yhdysvaltain uusinta on 130–160 dollaria.
(On myös kysymys odotusajoista: Australia neuvoo tällä hetkellä, että passin vaihto kestää vähintään 6 viikkoa [2022-09-28T13:50Z], ja tämä tapahtuu ilman äkillistä rikkomukseen liittyvän käsittelyn aiheuttamaa nousua; Isossa-Britanniassa Olemassa olevat ruuhkat, Hänen Majesteettinsa hallitus kehottaa parhaillaan hakijoita antamaan 10 viikkoa passin uusimiseen.)
Kuka maksaa kustannukset?
Tietenkin, jos kaikkien mahdollisesti vaarantuneiden tunnisteiden vaihtaminen katsotaan tarpeelliseksi, polttava kysymys on, "Kuka maksaa?"
Australian pääministerin Anthony Albanesen mukaan ei ole epäilystäkään siitä, mistä rahat passien korvaamiseen pitäisi tulla:
Tänä iltapäivänä @albomp antoi parlamentille tärkeän päivityksen Optus-tietoturvaloukkauksesta.
Sen lisäksi, että vaadimme Optusta maksamaan uusista passeista niille, joihin rikkominen vaikuttaa, olemme myös sitoutuneet vahvistamaan tietosuojalakejamme Privacy Act -tarkistuksen avulla. pic.twitter.com/JyoRJxyM3p
— Clare O'Neil kansanedustaja (@ClareONEilMP) Syyskuu 28, 2022
Liittovaltion lainsäätäjä ei ole sanonut ajokorttien korvaamisesta, koska se on osavaltioiden ja aluehallitusten hoitama asia…
…eikä sanaakaan siitä, tuleeko "vaihda kaikki asiakirjat" rutiinireaktio aina, kun henkilötodistusta koskevasta rikkomuksesta ilmoitetaan, mikä voi helposti kaataa julkisen palvelun, koska lupien ja passien odotetaan yleensä kestävän 10 vuotta.
Katso tätä tilaa – tästä näyttää tulevan mielenkiintoista!
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- tietoturvaloukkauksesta
- tietojen menetys
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- Optus
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- yksityisyys
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
![S3 Ep91: CodeRed, OpenSSL, Java-virheet ja Office-makrot [Podcast + Transcript] PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/nsp-1200-300x157.png "S3 Ep91: CodeRed, OpenSSL, Java-virheet ja Office-makrot [Podcast + Transcript]")
![S3 Ep 126: Pikamuodin hinta (ja ominaisuus creep) [ääni + teksti]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Pikamuodin hinta (ja ominaisuus creep) [ääni + teksti]")