Raksasa telekomunikasi Australia Optus dilaporkan menerima bantuan dari FBI dalam menyelidiki apa yang tampaknya merupakan pelanggaran yang mudah dicegah yang akhirnya mengungkap data sensitif pada hampir 10 juta pelanggan.
Sementara itu, peretas atau peretas di balik pelanggaran pada hari Selasa menarik permintaan mereka untuk uang tebusan $ 1 juta bersama dengan ancaman untuk melepaskan kumpulan data yang dicuri sampai uang tebusan dibayarkan. Pelaku ancaman juga mengklaim dia menghapus semua data yang dicuri dari Optus. Perubahan hati yang nyata, bagaimanapun, terjadi setelah penyerang sebelumnya telah merilis sampel dari sekitar 10,200 catatan pelanggan, tampaknya sebagai bukti niat.
Pikiran Kedua
Alasan penyerang menarik permintaan tebusan dan ancaman kebocoran data masih belum jelas. Namun dalam sebuah pernyataan yang diposting di forum Dark Web โ dan diposting ulang di databreaches.net - tersangka penyerang menyinggung "terlalu banyak mata" melihat data sebagai salah satu alasannya. "Kami tidak akan menjual data kepada siapa pun," bunyi catatan itu. "Kami tidak bisa jika kami ingin: menghapus data secara pribadi dari drive (Hanya menyalin)."
Penyerang juga meminta maaf kepada Optus dan kepada 10,200 pelanggan yang datanya bocor: โAustralia tidak akan melihat keuntungan dalam penipuan, ini dapat dipantau. Mungkin untuk 10,200 orang Australia tetapi populasi lainnya tidak. Sangat menyesal untukmu.โ
Permintaan maaf dan klaim penyerang untuk menghapus data yang dicuri tidak mungkin meredakan kekhawatiran seputar serangan tersebut, yang digambarkan sebagai pelanggaran terbesar yang pernah terjadi di Australia.
Optus pertama kali mengungkapkan pelanggaran tersebut pada 21 September, dan dalam serangkaian pembaruan sejak saat itu menggambarkannya memengaruhi pelanggan saat ini dan sebelumnya dari pelanggan broadband, seluler, dan bisnis perusahaan mulai 2017 dan seterusnya. Menurut perusahaan, pelanggaran tersebut mungkin berpotensi mengungkap nama pelanggan, tanggal lahir, nomor telepon, alamat email, dan โ untuk sebagian pelanggan โ alamat lengkap, informasi SIM, atau nomor paspor mereka.
Praktik Keamanan Optus Di Bawah Mikroskop
Pelanggaran tersebut telah memicu kekhawatiran penipuan identitas yang meluas dan mendorong Optus untuk โ di antara langkah-langkah lain โ bekerja dengan berbagai pemerintah negara bagian Australia untuk membahas potensi perubahan rincian SIM dari individu yang terkena dampak dengan biaya perusahaan. โSaat kami menghubungi Anda, kami akan memberikan kredit pada akun Anda untuk menutupi biaya penggantian yang relevan. Kami akan melakukannya secara otomatis, jadi Anda tidak perlu menghubungi kami,โ Optus memberi tahu pelanggan. โJika Anda tidak mendengar kabar dari kami, berarti SIM Anda tidak perlu diubah.โ
Kompromi data telah menempatkan praktik keamanan Optus tepat di bawah sorotan terutama karena tampaknya dihasilkan dari kesalahan mendasar. Australian Broadcasting Corporation (ABC) pada 22 September mengutip "tokoh senior" yang tidak dikenalโ di dalam Optus mengatakan penyerang pada dasarnya dapat mengakses database melalui antarmuka pemrograman aplikasi (API) yang tidak diautentikasi.
Orang dalam itu diduga memberi tahu ABC bahwa basis data identitas pelanggan langsung yang diakses penyerang terhubung melalui API yang tidak dilindungi ke Internet. Asumsinya adalah hanya sistem Optus resmi yang akan menggunakan API. Tapi entah bagaimana akhirnya terekspos ke jaringan uji, yang kebetulan terhubung langsung ke Internet, ABC mengutip kata orang dalam itu.
ABC dan outlet media lainnya menggambarkan CEO Optus Kelly Bayer Rosmarin bersikeras bahwa perusahaan tersebut adalah korban serangan canggih dan bahwa data yang diklaim telah diakses penyerang telah dienkripsi.
Jika laporan tentang API yang terbuka itu benar, Optus adalah korban dari kesalahan keamanan yang banyak dilakukan orang lain. โOtentikasi pengguna yang rusak adalah salah satu kerentanan API yang paling umum,โ kata Adam Fisher, arsitek solusi di Salt Security. โPenyerang mencarinya terlebih dahulu karena API yang tidak diautentikasi tidak berusaha untuk menerobos.โ
API yang terbuka atau tidak diautentikasi seringkali merupakan hasil dari tim infrastruktur, atau tim yang mengelola autentikasi, salah mengonfigurasi sesuatu, ujarnya. โKarena dibutuhkan lebih dari satu tim untuk menjalankan aplikasi, sering terjadi miskomunikasi,โ kata Fisher. Dia mencatat bahwa API yang tidak diautentikasi menempati posisi kedua dalam daftar OWASP dari 10 kerentanan keamanan API teratas.
Laporan yang ditugaskan Imperva awal tahun ini mengidentifikasi bisnis AS sebagai yang menimbulkan kerugian $12 miliar dan $23 miliar kerugian dari kompromi terkait API hanya pada tahun 2022. Studi berbasis survei lain yang dilakukan Cloudentity tahun lalu ditemukan 44% responden mengatakan organisasinya pernah mengalami kebocoran data dan masalah lain yang berasal dari penyimpangan keamanan API.
Penyerang "Ketakutan"?
FBI tidak segera menanggapi permintaan Dark Reading untuk memberikan komentar melalui alamat email kantor pers nasionalnya, tetapi Wali
dan lainnya melaporkan lembaga penegak hukum AS dipanggil untuk membantu penyelidikan. Itu Polisi Federal Australia, yang sedang menyelidiki pelanggaran Optus, mengatakan sedang bekerja dengan penegak hukum luar negeri untuk melacak individu atau kelompok yang bertanggung jawab untuk itu.
Casey Ellis, pendiri dan CTO perusahaan bug bounty Bugcrowd, mengatakan pengawasan ketat yang diterima dari pelanggaran yang diterima dari pemerintah Australia, publik, dan penegak hukum mungkin telah menakuti penyerang. โCukup jarang jenis interaksi ini menjadi spektakuler seperti ini,โ katanya. โMengorbankan hampir setengah populasi suatu negara akan mendapatkan banyak perhatian yang sangat intens dan sangat kuat, dan para penyerang yang terlibat di sini jelas meremehkan ini.โ
Tanggapan mereka menunjukkan pelaku ancaman masih sangat muda dan kemungkinan besar sangat baru dalam perilaku kriminal, setidaknya dalam skala ini, catatnya.
โJelas, pemerintah Australia telah menanggapi pelanggaran ini dengan sangat serius dan mengejar penyerang dengan rakus,โ tambah Fisher. "Respons yang kuat ini mungkin membuat penyerang lengah," dan kemungkinan besar menimbulkan pemikiran kedua. โNamun, sayangnya, datanya sudah terbuka. Begitu sebuah perusahaan menemukan dirinya dalam berita seperti ini, setiap peretas memperhatikan.โ
