एफबीआई बड़े पैमाने पर ऑप्टस डेटा उल्लंघन की जांच में ऑस्ट्रेलियाई अधिकारियों की मदद कर रही है: रिपोर्ट

ऑस्ट्रेलियाई दूरसंचार दिग्गज ऑप्टस को कथित तौर पर आसानी से रोके जा सकने वाले उल्लंघन की जांच में एफबीआई से मदद मिल रही है, जिसके परिणामस्वरूप लगभग 10 मिलियन ग्राहकों का संवेदनशील डेटा उजागर हो गया।

इस बीच, उल्लंघन के पीछे स्पष्ट हैकर या हैकर्स ने मंगलवार को $1 मिलियन की फिरौती की मांग वापस ले ली और साथ ही फिरौती का भुगतान होने तक चुराए गए डेटा के बैच जारी करने की धमकी भी दी। धमकी देने वाले अभिनेता ने यह भी दावा किया कि उसने ऑप्टस से चुराए गए सभी डेटा को हटा दिया है। हालाँकि, स्पष्ट हृदय परिवर्तन तब हुआ जब हमलावर ने पहले ही इरादे के सबूत के रूप में लगभग 10,200 ग्राहक रिकॉर्ड का एक नमूना जारी कर दिया था।

दूसरा विचार

हमलावर द्वारा फिरौती की मांग वापस लेने का कारण और डेटा लीक की धमकी स्पष्ट नहीं है। लेकिन डार्क वेब फोरम पर पोस्ट किए गए एक बयान में - और databreaches.net पर दोबारा पोस्ट किया गया - कथित हमलावर ने डेटा को एक कारण के रूप में देखने के लिए "बहुत सारी आँखों" का संकेत दिया। नोट में लिखा है, ''हम किसी को डेटा नहीं बेचेंगे।'' "अगर हम चाहें तो भी हम ऐसा नहीं कर सकते: ड्राइव से व्यक्तिगत रूप से डिलीट किया गया डेटा (केवल कॉपी)।" 

हमलावर ने ऑप्टस और उन 10,200 ग्राहकों से भी माफ़ी मांगी जिनका डेटा लीक हुआ था: “ऑस्ट्रेलिया को धोखाधड़ी में कोई लाभ नहीं मिलेगा, इसकी निगरानी की जा सकती है। शायद 10,200 ऑस्ट्रेलियाई के लिए लेकिन शेष जनसंख्या नहीं। आपसे बहुत दुःख हुआ।”

माफी और चुराए गए डेटा को हटाने के हमलावर के दावों से हमले के आसपास की चिंताओं को कम करने की संभावना नहीं है, जिसे ऑस्ट्रेलिया का अब तक का सबसे बड़ा उल्लंघन बताया गया है।

Optus पहली बार 21 सितंबर को उल्लंघन का खुलासा किया गया, और तब से अपडेट की एक श्रृंखला में इसे 2017 से कंपनी के ब्रॉडबैंड, मोबाइल और व्यावसायिक ग्राहकों के वर्तमान और पिछले ग्राहकों को प्रभावित करने वाला बताया गया है। कंपनी के अनुसार, उल्लंघन से संभावित रूप से ग्राहकों के नाम, जन्मतिथि, फोन नंबर, ईमेल पते और - ग्राहकों के एक सबसेट के लिए - उनके पूर्ण पते, ड्राइवर के लाइसेंस की जानकारी या पासपोर्ट नंबर उजागर हो सकते हैं।

माइक्रोस्कोप के तहत ऑप्टस सुरक्षा अभ्यास

उल्लंघन ने व्यापक पहचान धोखाधड़ी की चिंताओं को बढ़ा दिया है और ऑप्टस को अन्य उपायों के साथ-साथ विभिन्न ऑस्ट्रेलियाई राज्य सरकारों के साथ काम करने के लिए प्रेरित किया है ताकि कंपनी की कीमत पर प्रभावित व्यक्तियों के ड्राइवर के लाइसेंस विवरण को बदलने की संभावना पर चर्चा की जा सके। “जब हम संपर्क करेंगे, तो हम किसी भी प्रासंगिक प्रतिस्थापन लागत को कवर करने के लिए आपके खाते में एक क्रेडिट डाल देंगे। हम यह स्वचालित रूप से करेंगे, इसलिए आपको हमसे संपर्क करने की आवश्यकता नहीं है,'' ऑप्टस ने ग्राहकों को सूचित किया। "यदि आप हमारी बात नहीं सुनते हैं, तो इसका मतलब है कि आपके ड्राइवर का लाइसेंस बदलने की आवश्यकता नहीं है।"

डेटा समझौते ने ऑप्टस सुरक्षा प्रथाओं को पूरी तरह से सुर्खियों में ला दिया है, खासकर इसलिए क्योंकि ऐसा प्रतीत होता है कि यह एक मूलभूत त्रुटि के परिणामस्वरूप हुआ है। ऑस्ट्रेलियन ब्रॉडकास्टिंग कॉरपोरेशन (एबीसी) 22 सितंबर को एक अज्ञात वरिष्ठ व्यक्ति का हवाला दियाऑप्टस के अंदर यह कहा गया है कि हमलावर मूल रूप से एक अप्रमाणित एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (एपीआई) के माध्यम से डेटाबेस तक पहुंचने में सक्षम था। 

अंदरूनी सूत्र ने कथित तौर पर एबीसी को बताया कि हमलावर द्वारा एक्सेस किया गया लाइव ग्राहक पहचान डेटाबेस एक असुरक्षित एपीआई के माध्यम से इंटरनेट से जुड़ा था। धारणा यह थी कि केवल अधिकृत ऑप्टस सिस्टम ही एपीआई का उपयोग करेंगे। लेकिन यह किसी तरह एक परीक्षण नेटवर्क के संपर्क में आ गया, जो सीधे इंटरनेट से जुड़ा हुआ था, एबीसी ने अंदरूनी सूत्र के हवाले से कहा।

एबीसी और अन्य मीडिया आउटलेट्स ने ऑप्टस के सीईओ केली बायर रोज़मारिन का वर्णन करते हुए कहा कि कंपनी एक परिष्कृत हमले का शिकार थी और हमलावर ने जिस डेटा तक पहुंचने का दावा किया था वह एन्क्रिप्टेड था।

यदि उजागर एपीआई के बारे में रिपोर्ट सच है, तो ऑप्टस एक सुरक्षा गलती का शिकार था जो कई अन्य लोग करते हैं। साल्ट सिक्योरिटी के समाधान वास्तुकार एडम फिशर कहते हैं, "टूटा हुआ उपयोगकर्ता प्रमाणीकरण सबसे आम एपीआई कमजोरियों में से एक है।" "हमलावर पहले उनकी तलाश करते हैं क्योंकि अप्रमाणित एपीआई को तोड़ने में कोई प्रयास नहीं करना पड़ता है।"

उनका कहना है कि खुले या अप्रमाणित एपीआई अक्सर इंफ्रास्ट्रक्चर टीम, या प्रमाणीकरण का प्रबंधन करने वाली टीम द्वारा कुछ गलत कॉन्फ़िगर करने का परिणाम होते हैं। फिशर कहते हैं, "चूंकि किसी एप्लिकेशन को चलाने के लिए एक से अधिक टीमों की आवश्यकता होती है, इसलिए गलत संचार अक्सर होता है।" उन्होंने नोट किया कि अप्रमाणित एपीआई OWASP की शीर्ष 10 एपीआई सुरक्षा कमजोरियों की सूची में दूसरे स्थान पर हैं।

इस साल की शुरुआत में इम्पेर्वा-कमीशन की एक रिपोर्ट में अमेरिकी व्यवसायों को बीच में खर्च करने वाले के रूप में पहचाना गया था एपीआई से जुड़े समझौतों से $12 बिलियन और $23 बिलियन का नुकसान सिर्फ 2022 में। क्लाउडेंटिटी द्वारा पिछले साल किए गए एक अन्य सर्वेक्षण-आधारित अध्ययन में पाया गया 44% उत्तरदाताओं का कहना है कि उनके संगठन को डेटा लीक का अनुभव हुआ है और एपीआई सुरक्षा चूक से उत्पन्न अन्य मुद्दे।

"डरा हुआ" हमलावर?

एफबीआई ने अपने राष्ट्रीय प्रेस कार्यालय ईमेल पते के माध्यम से टिप्पणी के लिए डार्क रीडिंग के अनुरोध का तुरंत जवाब नहीं दिया, लेकिन अभिभावक
और अन्य लोगों ने बताया कि जांच में सहायता के लिए अमेरिकी कानून प्रवर्तन एजेंसी को बुलाया जा रहा है। ऑस्ट्रेलियाई संघीय पुलिसऑप्टस उल्लंघन की जांच कर रही कंपनी ने कहा कि वह इसके लिए जिम्मेदार व्यक्ति या समूह का पता लगाने के लिए विदेशी कानून प्रवर्तन के साथ काम कर रही है।

बग बाउंटी फर्म बगक्राउड के संस्थापक और सीटीओ केसी एलिस का कहना है कि ऑस्ट्रेलियाई सरकार, जनता और कानून प्रवर्तन से उल्लंघन की गहन जांच से हमलावर डर गया होगा। वे कहते हैं, "इस तरह की बातचीत का इतना शानदार होना काफी दुर्लभ है।" "किसी देश की लगभग आधी आबादी के साथ समझौता करना बहुत अधिक तीव्र और बहुत शक्तिशाली ध्यान आकर्षित करने वाला है, और यहां शामिल हमलावरों ने स्पष्ट रूप से इसे कम करके आंका है।" 

उनकी प्रतिक्रिया से पता चलता है कि धमकी देने वाले कलाकार बहुत युवा हैं और संभवतः आपराधिक आचरण के लिए बहुत नए हैं, कम से कम इस पैमाने पर, उन्होंने नोट किया।

फिशर कहते हैं, "स्पष्ट रूप से, ऑस्ट्रेलियाई सरकार ने इस उल्लंघन को बहुत गंभीरता से लिया है और हमलावर के पीछे सख्ती से लगी हुई है।" "इस कड़ी प्रतिक्रिया ने शायद हमलावर को चौंका दिया होगा," और संभवतः दूसरे विचार को प्रेरित किया। “हालाँकि, दुर्भाग्य से, डेटा पहले ही सार्वजनिक हो चुका है। एक बार जब कोई कंपनी इस तरह से खबरों में आ जाती है, तो हर हैकर उस पर ध्यान देता है।'