Optus megsértése – Az Aussie Telco azt mondta, hogy fizetnie kell az azonosítók cseréjéért

A mintegy 10 millió ügyfelet számláló ausztrál Optus telekommunikációs társaság múlt heti kiberbetörése felkeltette az ország kormányának haragját, hogy a feltört cégnek miként kell kezelnie az ellopott személyazonosító adatokat.

Darkweb screenshotok gyorsan felszínre került a támadás után, egy földalattival BreachFórumok a felhasználó egyszerűen beszélő nevét használja optusdata két adatrészletet kínált fel, azt állítva, hogy két adatbázisuk volt, a következők szerint:

  11,200,000 4,232,652 3,664,598 felhasználói rekord névvel, születési dátummal, mobilszámmal és azonosítóval 10,000,000 3,817,197 3,238,014 rekord tartalmazott valamilyen személyazonosító okmányt XNUMX XNUMX XNUMX azonosító jogosítványból XNUMX XNUMX XNUMX címrekord e-maillel, születési dátummal, személyi igazolvánnyal és egyebekkel az igazolványok közül vezetői engedélyből származtak

Az eladó azt írta, „Optus, ha olvasol! Az ár, ha nem értékesítünk [sic] adatokat, 1,000,000 1 XNUMX USD! XNUMX hetet adunk a döntésre.”

Az eladó szerint a rendszeres vásárlók 300,000 1 dollárért kaphatnák meg az adatbázisokat, ha az Optus egy héten belül nem veszi igénybe XNUMX millió dolláros „exkluzív hozzáférési” ajánlatát.

Az eladó azt mondta, hogy a fizetést Monero formájában várják, egy népszerű kriptovalutát, amelyet nehezebb nyomon követni, mint a Bitcoint.

Monero tranzakciók összekeverve a fizetési protokoll részeként, a Monero ökoszisztémát egyfajta kriptocoin poharává vagy névtelenítővé téve.

Mi történt?

Magának az adatszivárgásnak nyilvánvalóan az volt az oka, hogy a szakzsargonban an API végpont. (API a rövidítése alkalmazás programozási felület, előre definiált módja egy alkalmazás egy részének vagy alkalmazások gyűjteményének, hogy valamilyen szolgáltatást kérjen, vagy adatokat kérjen le egy másiktól.)

A weben az API-végpontok általában speciális URL-ek formájában jelennek meg, amelyek meghatározott viselkedést váltanak ki, vagy a kért adatokat adják vissza, ahelyett, hogy egyszerűen megjelenítenének egy weboldalt.

Például egy URL, mint például https://www.example.com/about egyszerűen visszacsatolhat egy statikus weboldalt HTML-formátumban, például:

  
    
       
About this site
       
This site is just an example, as the URL implies.
    
   

Az URL böngészővel való meglátogatása ezért egy olyan weboldalt eredményez, amely az elvárásoknak megfelelően néz ki:

De egy URL, mint pl https://api.example.com/userdata?id=23de­6731­e9a7 visszaadhat egy, a megadott felhasználóra jellemző adatbázisrekordot, mintha függvényhívást hajtott volna végre egy C programban a következőképpen:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Feltételezve, hogy a kért felhasználói azonosító létezik az adatbázisban, az egyenértékű függvény HTTP-kéréssel történő meghívása a végponthoz JSON formátumú választ adhat, például:

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

Egy ilyen típusú API-ban valószínűleg számos kiberbiztonsági óvintézkedésre számíthat, mint például:

• Hitelesítés. Előfordulhat, hogy minden webes kérésnek tartalmaznia kell egy HTTP-fejlécet, amely egy véletlenszerű (kitalálhatatlan) munkamenet-cookie-t határoz meg olyan felhasználó számára, aki nemrégiben igazolta személyazonosságát, például felhasználónévvel, jelszóval és 2FA-kóddal. Ez a fajta munkamenet-cookie, amely általában csak korlátozott ideig érvényes, ideiglenes hozzáférési engedélyként működik az előzetesen hitelesített felhasználó által ezt követően végrehajtott keresési kérésekhez. A nem hitelesített vagy ismeretlen felhasználóktól érkező API kérések ezért azonnal elutasíthatók.
• Hozzáférési korlátozások. Az olyan adatbázis-kereséseknél, amelyek személyazonosításra alkalmas adatokat (PII), például azonosítószámokat, lakcímeket vagy fizetési kártyaadatokat kérhetnek le, az API-végpont kéréseket elfogadó kiszolgáló hálózati szintű védelmet írhat elő a közvetlenül az internetről érkező kérések kiszűrésére. A támadónak ezért először egy belső szervert kell feltörnie, és nem tudna közvetlenül az interneten keresztül adatokat keresni.
• Nehezen kitalálható adatbázis-azonosítók. Bár biztonság a homályon keresztül (más néven „ezt soha nem fogják kitalálni”) rossz alapja a kiberbiztonságnak, nincs értelme a kelleténél könnyebbé tenni a szélhámosok dolgát. Ha a saját felhasználói azonosítója az 00000145, és tudod, hogy egy barátod, aki közvetlenül azután regisztrált, hogy megkaptad 00000148, akkor jó feltételezés, hogy az érvényes felhasználói azonosító értékek a következővel kezdődnek: 00000001 és menj fel onnan. A véletlenszerűen generált értékek megnehezítik azoknak a támadóknak, akik már találtak egy kiskaput a hozzáférés-szabályozásban, hogy olyan hurkot futtatjanak, amely újra és újra megpróbálja lekérni a valószínű felhasználói azonosítókat.
• Áramkorlátozás. A hasonló kérések bármely ismétlődő sorozata felhasználható aa potenciális IoC, ill a kompromisszum mutatója. Azok a kiberbűnözők, akik 11,000,000 XNUMX XNUMX adatbáziselemet szeretnének letölteni, általában nem egyetlen IP-számmal rendelkező számítógépet használnak a teljes feladat elvégzésére, így a tömeges letöltési támadások nem mindig nyilvánvalóak csak a hagyományos hálózati áramlásokból. De gyakran olyan mintákat és aktivitási arányokat generálnak, amelyek egyszerűen nem egyeznek meg azzal, amit a való életben látni fog.

Úgy tűnik, ezek közül a védelem közül kevés vagy egyáltalán nem volt érvényben az Optus támadása során, különösen az elsőt beleértve…

…ami azt jelenti, hogy a támadó anélkül tudott hozzáférni a személyazonosításra alkalmas adatokhoz, hogy valaha is azonosítania kellett magát, nem is beszélve arról, hogy ellopta volna egy legitim felhasználó bejelentkezési kódját vagy hitelesítési cookie-ját, hogy bejusson.

Valahogy úgy tűnik, hogy az érzékeny adatokhoz hozzáférést biztosító API-végpontot megnyíltak az internet előtt, ahol egy kiberbűnöző fedezte fel, és visszaélt olyan információk kinyerésére, amelyeknek valamiféle kiberbiztonsági portékák mögött kellett volna állniuk.

Továbbá, ha hinni lehet a támadó azon állításának, hogy összesen több mint 20,000,000 XNUMX XNUMX adatbázisrekordot kért le két adatbázisból, akkor feltételezzük [a], hogy az Optus userid A kódok könnyen kiszámíthatók vagy kitalálhatók voltak, és [b], hogy az „adatbázis-hozzáférés nem ért el szokatlan szintet” figyelmeztetések megjelentek.

Sajnos az Optus nem volt teljesen világos arról, hogyan támadás bontakozott ki, csak annyit mond:

K. Hogyan történt ez?

A. Optus kibertámadás áldozata lett. […]

K. Megállították a támadást?

A. Igen. Amikor ezt felfedezte, az Optus azonnal leállította a támadást.

Más szavakkal, úgy tűnik, hogy a „támadás leállítása” a kiskapu bezárását jelenti a további behatolás ellen (pl. a nem hitelesített API-végponthoz való hozzáférés blokkolásával), nem pedig a kezdeti támadás korai elfogásával, miután csak korlátozott számú rekordot loptak el. .

Gyanítjuk, hogy ha az Optus észlelte volna a támadást, miközben az még folyamatban volt, a cég a GYIK-ben közölte volna, hogy milyen messzire jutottak el a csalók, mielőtt a hozzáférést leállították volna.

Mi a következő?

Mi a helyzet azokkal az ügyfelekkel, akiknek az útlevelét vagy a jogosítványát nyilvánosságra hozták?

Mekkora kockázatot jelent egy személyazonosító okmány számának kiszivárogtatása, nem pedig magának a dokumentumnak a teljesebb részleteiről (például egy nagy felbontású szkennelésről vagy hiteles másolatról) az ilyen adatsértés áldozatai számára?

Mekkora azonosító értéket adjunk csak az azonosító számoknak, tekintettel arra, hogy manapság milyen széles körben és gyakran osztjuk meg őket?

Az ausztrál kormány szerint a kockázat elég jelentős ahhoz, hogy a jogsértés áldozatainak azt tanácsolják, hogy cseréljék ki az érintett dokumentumokat.

Valószínűleg több millió érintett felhasználó esetén az okmánymegújítási díjak önmagukban akár több százmillió dollárt is elérhetnek, és az ország vezetői engedélyeinek jelentős részének törlését és újbóli kiadását tehetik szükségessé.

Becsléseink szerint körülbelül 16 millió ausztrál állampolgár rendelkezik engedéllyel, és hajlamosak személyi igazolványként használni Ausztráliában, ahelyett, hogy útlevelüket magukkal hordják. Tehát, ha a optusdata A BreachForum plakátja az igazat mondta, és közel 4 millió licencszámot loptak el, az összes ausztrál licenc közel 25%-át lehet, hogy le kell cserélni. Nem tudjuk, hogy ez mennyire lehet hasznos az ausztrál vezetői engedélyek esetében, amelyeket egyes államok és területek állítanak ki. Az Egyesült Királyságban például a jogosítvány száma nyilvánvalóan algoritmikusan az Ön nevéből és születési dátumából származik, nagyon szerény keveréssel és néhány véletlenszerű karakter beillesztésével. Az új engedély tehát az előzőhöz nagyon hasonló új számot kap.

A jogosítvánnyal nem rendelkezőknek, vagy a látogatóknak, akik külföldi útlevél alapján vásároltak SIM-kártyát az Optustól, ki kell cserélniük az útlevelüket – az ausztrál útlevélcsere közel 193 ausztrál dollárba kerül, a brit útlevél 75–85 GBP, és egy amerikai megújítás 130-160 dollár.

(Felvetődik a várakozási idő kérdése is: Ausztrália jelenleg azt tanácsolja, hogy az útlevél cseréje legalább 6 hetet vesz igénybe [2022-09-28T13:50Z], és ez a jogsértésekkel kapcsolatos feldolgozás okozta hirtelen megugrás nélkül történik; az Egyesült Királyságban a A meglévő lemaradások miatt Őfelsége kormánya jelenleg azt mondja a kérelmezőknek, hogy hagyjanak 10 hetet az útlevél megújítására.)

Ki viseli a költségeket?

Természetesen, ha az összes potenciálisan veszélyeztetett azonosító cseréje szükséges, az égető kérdés az, – Ki fog fizetni?

Anthony Albanese ausztrál miniszterelnök szerint kétségtelen, honnan származnak az útlevelek cseréjéhez szükséges pénzek:

Ma délután @albomp fontos frissítést adott a parlamentnek az Optus biztonsági megsértésével kapcsolatban.

Nemcsak azt követeljük, hogy az Optus fizessen a jogsértés által érintett személyek csereútleveléért, hanem elkötelezettek vagyunk adatvédelmi törvényeink megerősítése mellett is az adatvédelmi törvény felülvizsgálata révén. pic.twitter.com/JyoRJxyM3p

— Clare O'Neil képviselő (@ClareONEilMP) 28. szeptember 2022.

A szövetségi törvényhozás semmiféle hírt nem kapott a vezetői engedélyek lecseréléséről, mivel ezt az ügyet az állam és a terület kormányai kezelik…

…és arról nincs szó, hogy az „összes dokumentum cseréje” rutinszerű reakció lesz-e, amikor egy személyazonosító okmányt érintő jogsértést jelentenek be, ami könnyen eláraszthatja a közszolgáltatást, mivel a jogosítványok és az útlevelek általában 10 évig érvényesek.

Nézze meg ezt a teret – érdekesnek tűnik!

---