ऑप्टस उल्लंघन - ऑस्ट्रेलियाई टेलीकॉम कंपनी ने बताया कि उसे प्लेटोब्लॉकचेन डेटा इंटेलिजेंस आईडी को बदलने के लिए भुगतान करना होगा। लंबवत खोज. ऐ.

ऑप्टस ब्रीच - ऑस्ट्रेलियाई टेल्को ने कहा कि उसे आईडी बदलने के लिए भुगतान करना होगा

समय टिकट: 28 सितंबर, 2022 9:55 पूर्वाह्न

by
पॉल डकलिन

ऑस्ट्रेलियाई टेल्को ऑप्टस में पिछले हफ्ते की साइबर घुसपैठ, जिसके लगभग 10 मिलियन ग्राहक हैं, ने देश की सरकार को इस बात पर आकर्षित किया है कि चोरी की गई कंपनी को चोरी किए गए आईडी विवरण से कैसे निपटना चाहिए।

डार्कवेब स्क्रीनशॉट हमले के तुरंत बाद सामने आया, एक भूमिगत के साथ उल्लंघन मंच के सादे-बोलने वाले नाम से जाने वाला उपयोगकर्ता optusdata डेटा के दो चरणों की पेशकश करते हुए, यह आरोप लगाते हुए कि उनके पास दो डेटाबेस इस प्रकार थे:

  नाम, जन्म तिथि, मोबाइल नंबर और आईडी के साथ 11,200,000 उपयोगकर्ता रिकॉर्ड 4,232,652 रिकॉर्ड में कुछ प्रकार के आईडी दस्तावेज़ संख्या 3,664,598 आईडी ड्राइविंग लाइसेंस से थे ईमेल, जन्म तिथि, आईडी और अधिक के साथ 10,000,000 पता रिकॉर्ड 3,817,197 में आईडी दस्तावेज़ संख्या 3,238,014 थी आईडी ड्राइविंग लाइसेंस से थे

विक्रेता ने लिखा, “यदि आप पढ़ रहे हैं तो ऑप्टस! हमारे लिए बिक्री नहीं करने की कीमत [sic] डेटा 1,000,000$US है! हम आपको निर्णय लेने के लिए 1 सप्ताह का समय देते हैं।"

विक्रेता ने कहा, नियमित खरीदार, नौकरी के रूप में $ 300,000 के लिए डेटाबेस रख सकते हैं, अगर ऑप्टस ने सप्ताह के भीतर अपना $ 1m "अनन्य एक्सेस" प्रस्ताव नहीं लिया।

विक्रेता ने कहा कि उन्हें मोनेरो के रूप में भुगतान की उम्मीद है, जो एक लोकप्रिय क्रिप्टोकरेंसी है जिसे बिटकॉइन की तुलना में ट्रेस करना कठिन है।

मोनरो लेनदेन हैं एक साथ मिलाया भुगतान प्रोटोकॉल के हिस्से के रूप में, मोनरो पारिस्थितिकी तंत्र को अपने आप में एक तरह का क्रिप्टोकॉइन टम्बलर या एनोनिमाइज़र बना देता है।

क्या हुआ?

डेटा उल्लंघन अपने आप में स्पष्ट रूप से लापता सुरक्षा के लिए नीचे था जिसे शब्दजाल में an . के रूप में जाना जाता है एपीआई समापन बिंदु. (एपीआई के लिए संक्षिप्त है अप्लिकेशन प्रोग्रामिंग अंतरफलक, किसी ऐप के एक हिस्से, या ऐप्स के संग्रह के लिए, किसी प्रकार की सेवा का अनुरोध करने के लिए, या किसी अन्य से डेटा पुनर्प्राप्त करने के लिए एक पूर्वनिर्धारित तरीका।)

वेब पर, एपीआई एंडपॉइंट आमतौर पर विशेष यूआरएल का रूप लेते हैं जो विशिष्ट व्यवहार को ट्रिगर करते हैं, या अनुरोधित डेटा लौटाते हैं, बजाय केवल एक वेब पेज की सेवा के।

उदाहरण के लिए, जैसे URL https://www.example.com/about HTML फॉर्म में बस एक स्थिर वेब पेज को वापस फीड कर सकता है, जैसे:

  
    
       
About this site

       
This site is just an example, as the URL implies.

इसलिए एक ब्राउज़र के साथ URL पर जाने से एक ऐसा वेब पेज बन जाएगा, जो आपकी अपेक्षा के अनुरूप दिखता है:

लेकिन एक यूआरएल जैसे https://api.example.com/userdata?id=23de­6731­e9a7 निर्दिष्ट उपयोगकर्ता के लिए विशिष्ट डेटाबेस रिकॉर्ड वापस कर सकता है, जैसे कि आपने सी प्रोग्राम में फ़ंक्शन कॉल किया था:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

यह मानते हुए कि अनुरोधित उपयोगकर्ता आईडी डेटाबेस में मौजूद है, एक HTTP अनुरोध के माध्यम से समतुल्य फ़ंक्शन को समापन बिंदु पर कॉल करने से JSON प्रारूप में एक उत्तर उत्पन्न हो सकता है, जैसे: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

इस प्रकार के एपीआई में, आप शायद कई साइबर सुरक्षा सावधानियों की अपेक्षा करेंगे, जैसे कि:

  • प्रमाणीकरण। प्रत्येक वेब अनुरोध में एक HTTP शीर्षलेख शामिल करने की आवश्यकता हो सकती है जो एक ऐसे उपयोगकर्ता को जारी एक यादृच्छिक (अनुमानित) सत्र कुकी निर्दिष्ट करता है जिसने हाल ही में अपनी पहचान साबित की थी, उदाहरण के लिए उपयोगकर्ता नाम, पासवर्ड और 2FA कोड के साथ। इस प्रकार की सत्र कुकी, जो आमतौर पर केवल सीमित समय के लिए मान्य होती है, पूर्व-प्रमाणित उपयोगकर्ता द्वारा बाद में किए गए लुकअप अनुरोधों के लिए एक अस्थायी एक्सेस पास के रूप में कार्य करती है। इसलिए अनधिकृत या अज्ञात उपयोगकर्ताओं के एपीआई अनुरोधों को तुरंत खारिज कर दिया जा सकता है।
  • प्रवेश प्रतिबंध। डेटाबेस लुकअप के लिए जो व्यक्तिगत रूप से पहचान योग्य डेटा (पीआईआई) जैसे आईडी नंबर, घर का पता या भुगतान कार्ड विवरण प्राप्त कर सकता है, एपीआई एंडपॉइंट अनुरोध स्वीकार करने वाला सर्वर सीधे इंटरनेट से आने वाले अनुरोधों को फ़िल्टर करने के लिए नेटवर्क-स्तरीय सुरक्षा लागू कर सकता है। इसलिए एक हमलावर को पहले एक आंतरिक सर्वर से समझौता करने की आवश्यकता होगी, और वह सीधे इंटरनेट पर डेटा की जांच करने में सक्षम नहीं होगा।
  • कठिन-से-अनुमानित डेटाबेस पहचानकर्ता। हालांकि अस्पष्टता के माध्यम से सुरक्षा (जिसे "वे कभी अनुमान नहीं लगाएंगे" के रूप में भी जाना जाता है) साइबर सुरक्षा के लिए एक खराब अंतर्निहित आधार है, बदमाशों के लिए चीजों को आसान बनाने का कोई मतलब नहीं है। यदि आपका अपना उपयोगकर्ता आईडी है 00000145, और आप जानते हैं कि एक मित्र जिसने आपके मिलने के ठीक बाद साइन अप किया था 00000148, तो यह एक अच्छा अनुमान है कि वैध उपयोगकर्ता आईडी मान शुरू होते हैं 00000001 और वहाँ से ऊपर जाओ। बेतरतीब ढंग से उत्पन्न मान उन हमलावरों के लिए कठिन बना देते हैं, जिन्हें आपके अभिगम नियंत्रण में पहले से ही एक खामी मिल गई है, एक लूप चलाने के लिए जो संभावित उपयोगकर्ता आईडी को पुनः प्राप्त करने के लिए बार-बार प्रयास करता है।
  • दर सीमित। समान अनुरोधों के किसी भी पुनरावृत्त अनुक्रम का उपयोग संभावित IoC के रूप में किया जा सकता है, या समझौता का सूचक. साइबर अपराधी जो 11,000,000 डेटाबेस आइटम डाउनलोड करना चाहते हैं, आम तौर पर पूरे काम को करने के लिए एक एकल आईपी नंबर वाले एक कंप्यूटर का उपयोग नहीं करते हैं, इसलिए बल्क डाउनलोड हमले हमेशा पारंपरिक नेटवर्क प्रवाह से तुरंत स्पष्ट नहीं होते हैं। लेकिन वे अक्सर ऐसे पैटर्न और गतिविधि की दरें उत्पन्न करते हैं जो वास्तविक जीवन में आप जो देखने की अपेक्षा करते हैं, उससे बिल्कुल मेल नहीं खाते।

जाहिरा तौर पर, ऑप्टस हमले के दौरान इनमें से कुछ या कोई भी सुरक्षा नहीं थी, विशेष रूप से पहले वाले सहित ...

…जिसका अर्थ है कि हमलावर पीआईआई तक पहुंचने में सक्षम था, बिना खुद को पहचानने की आवश्यकता के, एक वैध उपयोगकर्ता के लॉगिन कोड या प्रमाणीकरण कुकी को चोरी करने की तो बात ही छोड़ दें।

किसी तरह, ऐसा लगता है, संवेदनशील डेटा तक पहुंच के साथ एक एपीआई एंडपॉइंट बड़े पैमाने पर इंटरनेट के लिए खोला गया था, जहां इसे साइबर अपराधी द्वारा खोजा गया था और किसी प्रकार की साइबर सुरक्षा पोर्टकुलिस के पीछे होने वाली जानकारी निकालने के लिए दुरुपयोग किया गया था।

साथ ही, यदि हमलावर के दो डेटाबेस से कुल 20,000,000 से अधिक डेटाबेस रिकॉर्ड पुनर्प्राप्त करने के दावे पर विश्वास किया जाए, तो हम मान रहे हैं [a] कि Optus userid कोड आसानी से गणना या अनुमान लगाया गया था, और [बी] कि कोई "डेटाबेस एक्सेस असामान्य स्तर पर नहीं पहुंचा है" चेतावनियां बंद हो गईं।

दुर्भाग्य से, ऑप्टस इस बारे में बहुत स्पष्ट नहीं है कि कैसे हमला सामने आया, केवल कह रहा है:

> यह कैसे हुआ?

A. Optus एक साइबर हमले का शिकार हुआ था। […]

> क्या हमला रोक दिया गया है?

ए हाँ। यह पता चलने पर, ऑप्टस ने तुरंत हमले को बंद कर दिया।

दूसरे शब्दों में, ऐसा लगता है कि "हमले को बंद करना" में केवल सीमित संख्या में रिकॉर्ड चोरी होने के बाद प्रारंभिक हमले को रोकने के बजाय आगे की घुसपैठ (उदाहरण के लिए अनधिकृत एपीआई समापन बिंदु तक पहुंच को अवरुद्ध करके) के खिलाफ बचाव का रास्ता बंद करना शामिल था। .

हमें संदेह है कि अगर ऑप्टस ने हमले का पता लगाया था, जबकि यह अभी भी चल रहा था, तो कंपनी ने अपने अक्सर पूछे जाने वाले प्रश्न में बताया होगा कि उनकी पहुंच बंद होने से पहले बदमाशों को कितनी दूर मिला था।

आगे क्या?

उन ग्राहकों के बारे में क्या जिनके पासपोर्ट या ड्राइविंग लाइसेंस नंबर उजागर हो गए थे?

दस्तावेज़ के अधिक पूर्ण विवरण (जैसे कि एक उच्च-रिज़ॉल्यूशन स्कैन या प्रमाणित प्रति) के बजाय, एक आईडी दस्तावेज़ संख्या को लीक करने का कितना जोखिम है, इस तरह के डेटा उल्लंघन के शिकार के लिए खतरा है?

हमें अकेले आईडी नंबरों को कितना पहचान मूल्य देना चाहिए, यह देखते हुए कि हम उन्हें इन दिनों कितनी व्यापक रूप से और बार-बार साझा करते हैं?

ऑस्ट्रेलियाई सरकार के अनुसार, जोखिम इतना महत्वपूर्ण है कि उल्लंघन के शिकार लोगों को प्रभावित दस्तावेजों को बदलने की सलाह दी जा रही है।

और संभवतः लाखों प्रभावित उपयोगकर्ताओं के साथ, अकेले दस्तावेज़ नवीनीकरण शुल्क सैकड़ों मिलियन डॉलर तक चल सकते हैं, और देश के ड्राइविंग लाइसेंस के एक महत्वपूर्ण अनुपात को रद्द करने और फिर से जारी करने की आवश्यकता है।

हमारा अनुमान है कि लगभग 16 मिलियन से अधिक ऑस्ट्रेलियाई लोगों के पास लाइसेंस हैं, और वे अपने पासपोर्ट को अपने साथ रखने के बजाय ऑस्ट्रेलिया के अंदर आईडी के रूप में उपयोग करने के इच्छुक हैं। तो, अगर optusdata ब्रीचफ़ोरम पोस्टर सच कह रहा था, और करीब 4 मिलियन लाइसेंस नंबर चोरी हो गए थे, सभी ऑस्ट्रेलियाई लाइसेंसों में से 25% को बदलने की आवश्यकता हो सकती है। हम नहीं जानते कि यह वास्तव में ऑस्ट्रेलियाई ड्राइविंग लाइसेंस के मामले में कितना उपयोगी हो सकता है, जो अलग-अलग राज्यों और क्षेत्रों द्वारा जारी किए जाते हैं। उदाहरण के लिए, यूके में, आपका ड्राइविंग लाइसेंस नंबर स्पष्ट रूप से आपके नाम और जन्म तिथि से एल्गोरिथम के रूप में लिया गया है, जिसमें बहुत ही मामूली मात्रा में फेरबदल किया गया है और बस कुछ यादृच्छिक वर्ण डाले गए हैं। इसलिए एक नया लाइसेंस एक नया नंबर प्राप्त करता है जो पिछले एक के समान है।

बिना लाइसेंस वाले, या विदेशी पासपोर्ट के आधार पर ऑप्टस से सिम कार्ड खरीदने वाले आगंतुकों को इसके बजाय अपने पासपोर्ट बदलने की आवश्यकता होगी - ऑस्ट्रेलिया पासपोर्ट प्रतिस्थापन की लागत AU$193 के करीब है, यूके पासपोर्ट £75 से £85 है, और एक यूएस नवीनीकरण $ 130 से $ 160 है।

(प्रतीक्षा समय का भी सवाल है: ऑस्ट्रेलिया वर्तमान में सलाह देता है कि प्रतिस्थापन पासपोर्ट में कम से कम 6 सप्ताह लगेंगे [2022-09-28टी13:50जेड], और यह उल्लंघन से संबंधित प्रसंस्करण के कारण अचानक उछाल के बिना है; यूके में, के कारण मौजूदा बैकलॉग, महामहिम सरकार वर्तमान में आवेदकों को पासपोर्ट नवीनीकरण के लिए 10 सप्ताह की अनुमति देने के लिए कह रही है।)

लागत कौन वहन करता है?

बेशक, अगर सभी संभावित रूप से समझौता किए गए आईडी को बदलना आवश्यक समझा जाता है, तो ज्वलंत प्रश्न यह है कि, "कौन भुगतान करेगा?"

ऑस्ट्रेलियाई प्रधान मंत्री, एंथनी अल्बनीज़ के अनुसार, इसमें कोई संदेह नहीं है कि पासपोर्ट बदलने के लिए धन कहाँ से आना चाहिए:

ड्राइविंग लाइसेंस को बदलने के बारे में संघीय विधायिका की ओर से कोई शब्द नहीं है, यह मामला राज्य और क्षेत्र सरकारों द्वारा नियंत्रित किया जा रहा है ...

... और इस पर कोई शब्द नहीं है कि "सभी दस्तावेजों को बदलें" एक नियमित प्रतिक्रिया बन जाएगी जब भी आईडी दस्तावेज़ से जुड़े उल्लंघन की सूचना दी जाती है, कुछ ऐसा जो आसानी से सार्वजनिक सेवा को प्रभावित कर सकता है, यह देखते हुए कि लाइसेंस और पासपोर्ट आमतौर पर प्रत्येक 10 वर्षों तक चलने की उम्मीद है।

इस स्थान को देखें - यह दिलचस्प होने के लिए तैयार है!

समय टिकट:

से अधिक नग्न सुरक्षा