Az ausztrál távközlési óriáscég, az Optus a hírek szerint segítséget kap az FBI-tól egy könnyen megelőzhető incidens kivizsgálásához, amely közel 10 millió ügyfél bizalmas adatait tette közzé.
Eközben a jogsértés mögött álló nyilvánvaló hacker vagy hackerek kedden visszavonták az 1 millió dolláros váltságdíj követelését, és azzal a fenyegetéssel, hogy a váltságdíj kifizetéséig kiadják az ellopott adatok tételeit. A fenyegetőző színész azt is állította, hogy törölte az Optustól ellopott összes adatot. A látszólagos meggondolás azonban azután következett be, hogy a támadó már korábban mintegy 10,200 XNUMX ügyfélrekordot hozott nyilvánosságra, látszólag a szándékosság bizonyítékaként.
Második gondolatok
Továbbra is tisztázatlan, hogy a támadó miért vonja vissza a váltságdíj követelést és az adatszivárgás veszélyét. De egy Dark Web fórumon közzétett nyilatkozatban - és újra közzétette a databreaches.net oldalon - az állítólagos támadó arra utalt, hogy „túl sok szem” az adatok egyik oka. „Senkinek nem adunk el adatokat” – olvasható a feljegyzésben. „Nem tehetjük, ha akarnánk is: személyesen törölt adatok a meghajtóról (Csak másolás).”
A támadó bocsánatot kért az Optustól és attól a 10,200 10,200 ügyféltől is, akiknek az adatai kiszivárogtak: „Ausztrália nem fog hasznot húzni a csalásból, ez nyomon követhető. Talán XNUMX XNUMX ausztrál számára, de a lakosság többi része nem. Nagyon sajnálom.”
A bocsánatkérés és a támadónak az ellopott adatok törlésére vonatkozó állításai valószínűleg nem csillapítják a támadást övező aggodalmakat, amelyet Ausztrália valaha volt legnagyobb jogsértéseként írnak le.
Optus szeptember 21-én közölte először a jogsértést, és azóta egy sor frissítésben leírta, hogy ez 2017-től érinti a vállalat szélessávú, mobil- és üzleti ügyfeleinek jelenlegi és korábbi ügyfeleit. A vállalat szerint a jogsértés potenciálisan nyilvánosságra hozhatja az ügyfelek nevét, születési dátumát, telefonszámát, e-mail címét és – az ügyfelek egy része esetében – a teljes címét, a jogosítvány adatait vagy az útlevélszámait.
Optus biztonsági gyakorlatok mikroszkóp alatt
A jogsértés felkeltette a széles körben elterjedt személyazonossági csalással kapcsolatos aggodalmakat, és az Optust – egyéb intézkedések mellett – a különböző ausztrál államok kormányaival való együttműködésre késztette, hogy megvitassák az érintett személyek jogosítványának megváltoztatásának lehetőségét a vállalat költségén. „Amikor felvesszük a kapcsolatot, jóváírást helyezünk el számláján, hogy fedezze a vonatkozó csereköltségeket. Ezt automatikusan megtesszük, így nem kell felvennie velünk a kapcsolatot” – tájékoztatta ügyfeleit az Optus. "Ha nem hall rólunk, az azt jelenti, hogy a vezetői engedélyét nem kell megváltoztatni."
Az adatkompromisszum miatt az Optus biztonsági gyakorlata a reflektorfénybe került, különösen azért, mert úgy tűnik, hogy alapvető hiba következménye. Az Australian Broadcasting Corporation (ABC) szeptember 22-én idézett egy azonosítatlan „idős figurát” az Optuson belül azt mondta, hogy a támadó alapvetően egy nem hitelesített alkalmazásprogramozási felületen (API) keresztül tudott hozzáférni az adatbázishoz.
A bennfentes állítólag azt mondta az ABC-nek, hogy az élő ügyfél-azonosító adatbázis, amelyhez a támadó hozzáfért, egy nem védett API-n keresztül csatlakozik az internethez. A feltételezés az volt, hogy csak az engedélyezett Optus rendszerek használják az API-t. De valahogy az lett, hogy egy teszthálózathoz került, amely történetesen közvetlenül csatlakozott az internethez – idézte az ABC a bennfentes szavait.
Az ABC és más sajtóorgánumok szerint az Optus vezérigazgatója, Kelly Bayer Rosmarin kitart amellett, hogy a vállalat egy kifinomult támadás áldozata lett, és hogy a támadó állítása szerint hozzáfért adatok titkosítottak.
Ha igaz a feltárt API-ról szóló jelentés, az Optus egy biztonsági hiba áldozata volt, amelyet sokan elkövetnek. „A meghibásodott felhasználói hitelesítés az egyik leggyakoribb API-sebezhetőség” – mondja Adam Fisher, a Salt Security megoldástervezője. "A támadók először keresik meg őket, mert a nem hitelesített API-k nem tesznek erőfeszítéseket a feltöréshez."
A nyílt vagy nem hitelesített API-k gyakran az infrastrukturális csapat vagy a hitelesítést kezelő csapat eredményei, és valamit rosszul konfigurálnak, mondja. „Mivel egy alkalmazás futtatásához egynél több csapatra van szükség, gyakran fordul elő kommunikációs hiba” – mondja Fisher. Megjegyzi, hogy a nem hitelesített API-k a második helyet foglalják el az OWASP top 10 API biztonsági rést tartalmazó listáján.
Az Imperva által az év elején készített jelentés megállapította, hogy az egyesült államokbeli vállalkozások a között történtek 12 milliárd dollár és 23 milliárd dollár veszteség az API-hoz kapcsolódó kompromisszumokból Csak 2022-ben. Egy másik felmérésen alapuló tanulmány, amelyet a Cloudentity végzett tavaly A válaszadók 44%-a azt mondta, hogy szervezetüknél adatszivárgás történt és egyéb, az API biztonsági kimaradásaiból eredő problémák.
„Megrémült” támadó?
Az FBI nem válaszolt azonnal a Dark Reading kommentárkérésére nemzeti sajtóirodáján keresztül, de a Gyám
és mások arról számoltak be, hogy az Egyesült Államok bűnüldöző szervét hívták segítségül a nyomozásban. A Ausztrál szövetségi rendőrségAz Optus megsértését vizsgáló cég azt mondta, hogy együttműködik a tengerentúli bűnüldöző szervekkel, hogy felkutassák a felelős személyt vagy csoportot.
Casey Ellis, a Bugcrowd hibajavító cég alapítója és műszaki igazgatója szerint az ausztrál kormány, a közvélemény és a bűnüldöző szervek intenzív vizsgálata a jogsértés kapcsán megrémíthette a támadót. „Elég ritka, hogy az ilyen típusú interakció olyan látványos legyen, mint ez volt” – mondja. "Egy ország lakosságának csaknem felének kompromittálása nagyon intenzív és nagyon erőteljes figyelmet fog kiváltani, és az itt érintett támadók ezt egyértelműen alábecsülték."
A válaszuk azt sugallja, hogy a fenyegetés szereplői nagyon fiatalok, és valószínűleg nagyon újak a bűnözés terén, legalábbis ekkora léptékű – jegyzi meg.
"Nyilvánvaló, hogy az ausztrál kormány nagyon komolyan vette ezt a jogsértést, és mohóan keresi a támadót" - teszi hozzá Fisher. „Ez az erős válasz véletlenül elkaphatta a támadót”, és valószínűleg második gondolatra késztetett. „Sajnos azonban az adatok már kint vannak. Ha egy cég ilyen hírekben találja magát, minden hacker odafigyel.”
