Le géant australien des télécommunications Optus aurait reçu l'aide du FBI pour enquêter sur ce qui semble avoir été une violation facilement évitable qui a fini par exposer des données sensibles sur près de 10 millions de clients.
Pendant ce temps, le ou les pirates apparents à l'origine de la violation ont retiré mardi leur demande de rançon de 1 million de dollars et menacé de divulguer des lots de données volées jusqu'à ce que la rançon soit payée. L'acteur menaçant a également affirmé avoir supprimé toutes les données volées à Optus. Le revirement apparent, cependant, est survenu après que l'attaquant ait déjà publié un échantillon de quelque 10,200 XNUMX dossiers de clients, apparemment comme preuve d'intention.
Doutes
La raison pour laquelle l'attaquant a retiré la demande de rançon et la menace de fuite de données restent floues. Mais dans une déclaration publiée sur un forum du Dark Web — et reposté sur databreaches.net – l'agresseur présumé a fait allusion à "trop d'yeux" considérant les données comme une raison. "Nous ne vendrons de données à personne", lit-on dans la note. "Nous ne pouvons pas si nous le voulons même : supprimer personnellement les données du lecteur (copie uniquement)."
L'attaquant a également présenté ses excuses à Optus et aux 10,200 10,200 clients dont les données ont été divulguées : "L'Australie ne verra aucun gain dans la fraude, cela peut être surveillé. Peut-être pour XNUMX XNUMX Australiens mais le reste de la population non. Je suis vraiment désolé pour vous.
Il est peu probable que les excuses et les affirmations de l'attaquant concernant la suppression des données volées apaisent les inquiétudes entourant l'attaque, qui a été décrite comme la plus grande violation jamais enregistrée en Australie.
Optus a révélé la violation pour la première fois le 21 septembre, et dans une série de mises à jour depuis lors, l'a décrit comme affectant les clients actuels et précédents des clients haut débit, mobiles et professionnels de l'entreprise à partir de 2017. Selon l'entreprise, la violation peut avoir potentiellement exposé les noms, dates de naissance, numéros de téléphone, adresses e-mail des clients et, pour un sous-ensemble de clients, leurs adresses complètes, leurs informations de permis de conduire ou leurs numéros de passeport.
Les pratiques de sécurité d'Optus sous le microscope
La violation a alimenté les inquiétudes concernant la fraude d'identité généralisée et a poussé Optus à – entre autres mesures – travailler avec différents gouvernements des États australiens pour discuter de la possibilité de modifier les détails du permis de conduire des personnes concernées aux frais de l'entreprise. "Lorsque nous vous contacterons, nous placerons un crédit sur votre compte pour couvrir tout coût de remplacement pertinent. Nous le ferons automatiquement, vous n'avez donc pas besoin de nous contacter », a informé les clients d'Optus. "Si vous n'avez pas de nouvelles de nous, cela signifie que votre permis de conduire n'a pas besoin d'être changé."
La compromission des données a mis les pratiques de sécurité d'Optus sous les projecteurs, en particulier parce qu'elle semble résulter d'une erreur fondamentale. L'Australian Broadcasting Corporation (ABC) le 22 septembre a cité une "personne âgée non identifiée” à l'intérieur d'Optus en disant que l'attaquant était essentiellement capable d'accéder à la base de données via une interface de programmation d'application (API) non authentifiée.
L'initié aurait déclaré à ABC que la base de données d'identité des clients en direct à laquelle l'attaquant avait accédé était connectée via une API non protégée à Internet. L'hypothèse était que seuls les systèmes Optus autorisés utiliseraient l'API. Mais il a fini par être exposé à un réseau de test, qui se trouvait être directement connecté à Internet, a déclaré ABC citant l'initié.
ABC et d'autres médias ont décrit le PDG d'Optus, Kelly Bayer Rosmarin, comme insistant sur le fait que l'entreprise avait été victime d'une attaque sophistiquée et que les données auxquelles l'attaquant prétendait avoir accédé étaient cryptées.
Si le rapport sur l'API exposée est vrai, Optus a été victime d'une erreur de sécurité que beaucoup d'autres commettent. "L'authentification des utilisateurs brisée est l'une des vulnérabilités les plus courantes de l'API", déclare Adam Fisher, architecte de solutions chez Salt Security. "Les attaquants les recherchent en premier, car les API non authentifiées ne demandent aucun effort pour être piratées."
Les API ouvertes ou non authentifiées sont souvent le résultat de l'équipe d'infrastructure, ou de l'équipe qui gère l'authentification, qui a mal configuré quelque chose, dit-il. "Parce qu'il faut plus d'une équipe pour exécuter une application, une mauvaise communication se produit fréquemment", explique Fisher. Il note que les API non authentifiées occupent la deuxième place dans la liste OWASP des 10 principales vulnérabilités de sécurité des API.
Un rapport commandé par Imperva plus tôt cette année a identifié les entreprises américaines comme encourant entre 12 milliards de dollars et 23 milliards de dollars de pertes dues à des compromis liés aux API juste en 2022. Une autre étude basée sur une enquête menée par Cloudentity l'année dernière a révélé 44 % des personnes interrogées déclarent que leur organisation a subi des fuites de données et d'autres problèmes liés aux failles de sécurité de l'API.
Attaquant "effrayé" ?
Le FBI n'a pas répondu immédiatement à une demande de commentaire de Dark Reading via l'adresse e-mail de son bureau de presse national, mais le Tuteur
et d'autres ont rapporté que l'agence américaine d'application de la loi avait été appelée pour aider à l'enquête. Le Police fédérale australienne, qui enquête sur la violation d'Optus, a déclaré qu'il travaillait avec les forces de l'ordre étrangères pour retrouver l'individu ou le groupe qui en était responsable.
Casey Ellis, fondateur et CTO de la société Bug Bounty Bugcrowd, affirme que l'examen minutieux de la violation de la part du gouvernement australien, du public et des forces de l'ordre a peut-être effrayé l'attaquant. « Il est assez rare que ce type d'interaction soit aussi spectaculaire que celui-ci », dit-il. « Compromettre près de la moitié de la population d'un pays va attirer une attention très intense et très puissante, et les attaquants impliqués ici ont clairement sous-estimé cela.
Leur réponse suggère que les acteurs de la menace sont très jeunes et probablement très novices en matière de conduite criminelle, du moins de cette ampleur, note-t-il.
"De toute évidence, le gouvernement australien a pris cette brèche très au sérieux et poursuit l'attaquant avec voracité", ajoute Fisher. "Cette réponse forte aurait pu prendre l'agresseur au dépourvu", et a probablement suscité des doutes. « Cependant, malheureusement, les données sont déjà rendues publiques. Une fois qu'une entreprise se retrouve dans l'actualité comme celle-ci, chaque hacker y prête attention. »
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
