Intrusi dunia maya minggu lalu di perusahaan telekomunikasi Australia Optus, yang memiliki sekitar 10 juta pelanggan, telah menarik kemarahan pemerintah negara itu atas bagaimana perusahaan yang dilanggar harus menangani detail ID yang dicuri.
Jaring gelap screenshot muncul dengan cepat setelah serangan itu, dengan bawah tanah Forum Pelanggaran pengguna menggunakan nama sederhana dari optusdata menawarkan dua tahap data, menuduh bahwa mereka memiliki dua database sebagai berikut:
11,200,000 catatan pengguna dengan nama, tanggal lahir, nomor ponsel dan ID 4,232,652 catatan termasuk semacam nomor dokumen ID 3,664,598 ID berasal dari SIM 10,000,000 catatan alamat dengan email, tanggal lahir, ID dan banyak lagi 3,817,197 memiliki nomor dokumen ID 3,238,014 dari ID berasal dari SIM
Penjual menulis, “Optis jika Anda membaca! Harga bagi kami untuk tidak menjual data [sic] adalah 1,000,000$US! Kami memberi Anda waktu 1 minggu untuk memutuskan.”
Pembeli reguler, kata penjual, dapat memiliki database seharga $300,000 sebagai lot pekerjaan, jika Optus tidak menerima tawaran "akses eksklusif" senilai $1 juta dalam seminggu.
Penjual mengatakan mereka mengharapkan pembayaran dalam bentuk Monero, cryptocurrency populer yang lebih sulit dilacak daripada Bitcoin.
Transaksi Monero adalah campur aduk sebagai bagian dari protokol pembayaran, membuat ekosistem Monero menjadi semacam tumbler atau anonim cryptocoin dengan caranya sendiri.
Apa yang terjadi?
Pelanggaran data itu sendiri tampaknya disebabkan oleh hilangnya keamanan pada apa yang dikenal dalam jargon sebagai Titik akhir API. (API adalah kependekan dari antarmuka pemrograman aplikasi, cara yang telah ditentukan untuk satu bagian dari aplikasi, atau kumpulan aplikasi, untuk meminta beberapa jenis layanan, atau untuk mengambil data, dari yang lain.)
Di web, titik akhir API biasanya berbentuk URL khusus yang memicu perilaku tertentu, atau mengembalikan data yang diminta, bukan sekadar menyajikan halaman web.
Misalnya, URL seperti https://www.example.com/about mungkin hanya memberi umpan balik halaman web statis dalam bentuk HTML, seperti:
About this site
This site is just an example, as the URL implies.
Oleh karena itu, mengunjungi URL dengan browser akan menghasilkan halaman web yang terlihat seperti yang Anda harapkan:
Tapi URL seperti https://api.example.com/userdata?id=23de6731e9a7 mungkin mengembalikan catatan database khusus untuk pengguna tertentu, seolah-olah Anda telah melakukan panggilan fungsi dalam program C di sepanjang baris:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
Dengan asumsi ID pengguna yang diminta ada di database, memanggil fungsi yang setara melalui permintaan HTTP ke titik akhir mungkin menghasilkan balasan dalam format JSON, seperti ini:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
Dalam API semacam ini, Anda mungkin mengharapkan beberapa tindakan pencegahan keamanan siber, seperti:
- Autentikasi. Setiap permintaan web mungkin perlu menyertakan header HTTP yang menentukan cookie sesi acak (tidak dapat ditebak) yang dikeluarkan untuk pengguna yang baru saja membuktikan identitasnya, misalnya dengan nama pengguna, kata sandi, dan kode 2FA. Cookie sesi semacam ini, biasanya hanya berlaku untuk waktu terbatas, bertindak sebagai akses akses sementara untuk permintaan pencarian yang kemudian dilakukan oleh pengguna yang telah diautentikasi sebelumnya. Oleh karena itu, permintaan API dari pengguna yang tidak diautentikasi atau tidak dikenal dapat langsung ditolak.
- Pembatasan akses. Untuk pencarian basis data yang mungkin mengambil data pengenal pribadi (PII) seperti nomor ID, alamat rumah, atau detail kartu pembayaran, server yang menerima permintaan titik akhir API mungkin memberlakukan perlindungan tingkat jaringan untuk menyaring permintaan yang datang langsung dari internet. Oleh karena itu, penyerang perlu mengkompromikan server internal terlebih dahulu, dan tidak akan dapat menyelidiki data secara langsung melalui internet.
- Pengidentifikasi basis data yang sulit ditebak. Meskipun keamanan melalui ketidakjelasan (juga dikenal sebagai "mereka tidak akan pernah menebak itu") adalah dasar dasar yang buruk untuk keamanan siber, tidak ada gunanya membuat segalanya lebih mudah daripada yang harus Anda lakukan untuk para penjahat. Jika userid Anda sendiri adalah
00000145, dan Anda tahu bahwa seorang teman yang mendaftar tepat setelah Anda mendapatkannya00000148, maka tebakan yang bagus bahwa nilai userid yang valid dimulai dari00000001dan naik dari sana. Nilai yang dihasilkan secara acak mempersulit penyerang yang telah menemukan celah di kontrol akses Anda untuk menjalankan loop yang mencoba berulang kali untuk mengambil kemungkinan userid. - Pembatasan tarif. Urutan berulang dari permintaan serupa dapat digunakan sebagai IoC potensial, atau indikator kompromi. Penjahat dunia maya yang ingin mengunduh 11,000,000 item basis data umumnya tidak menggunakan satu komputer dengan satu nomor IP untuk melakukan seluruh pekerjaan, jadi serangan unduhan massal tidak selalu langsung terlihat hanya dari aliran jaringan tradisional. Tetapi mereka akan sering menghasilkan pola dan tingkat aktivitas yang sama sekali tidak sesuai dengan apa yang Anda harapkan untuk dilihat dalam kehidupan nyata.
Rupanya, sedikit atau tidak ada sama sekali dari perlindungan ini selama serangan Optus, terutama termasuk yang pertama…
…artinya penyerang dapat mengakses PII tanpa perlu mengidentifikasi diri mereka sama sekali, apalagi mencuri kode login atau cookie otentikasi pengguna yang sah untuk masuk.
Entah bagaimana, tampaknya, titik akhir API dengan akses ke data sensitif dibuka ke internet secara luas, di mana ia ditemukan oleh penjahat dunia maya dan disalahgunakan untuk mengekstrak informasi yang seharusnya berada di balik semacam pintu gerbang keamanan dunia maya.
Juga, jika klaim penyerang telah mengambil total lebih dari 20,000,000 catatan basis data dari dua basis data dapat dipercaya, kami mengasumsikan [a] bahwa Optus userid kode mudah dihitung atau ditebak, dan [b] bahwa tidak ada peringatan “akses database telah mencapai tingkat yang tidak biasa” yang berbunyi.
Sayangnya, Optus belum terlalu jelas tentang bagaimana serangan dibuka, hanya mengatakan:
T. Bagaimana ini bisa terjadi?
A. Optus adalah korban serangan siber. […]
T. Apakah serangan telah dihentikan?
A. Ya. Setelah menemukan ini, Optus segera mematikan serangan itu.
Dengan kata lain, sepertinya "mematikan serangan" melibatkan penutupan celah terhadap intrusi lebih lanjut (misalnya dengan memblokir akses ke titik akhir API yang tidak diautentikasi) daripada mencegat serangan awal setelah hanya sejumlah catatan yang telah dicuri. .
Kami menduga bahwa jika Optus telah mendeteksi serangan saat itu masih berlangsung, perusahaan akan menyatakan di FAQ seberapa jauh penjahat itu sebelum akses mereka ditutup.
Apa selanjutnya?
Bagaimana dengan pelanggan yang paspor atau nomor SIMnya terungkap?
Seberapa besar risiko membocorkan nomor dokumen ID, daripada detail yang lebih lengkap dari dokumen itu sendiri (seperti pindaian resolusi tinggi atau salinan resmi), yang ditimbulkan oleh korban pelanggaran data seperti ini?
Berapa nilai identifikasi yang harus kita berikan kepada nomor ID saja, mengingat seberapa luas dan sering kita membagikannya akhir-akhir ini?
Menurut pemerintah Australia, risikonya cukup signifikan sehingga para korban pelanggaran disarankan untuk mengganti dokumen yang terpengaruh.
Dan dengan kemungkinan jutaan pengguna yang terpengaruh, biaya pembaruan dokumen saja bisa mencapai ratusan juta dolar, dan mengharuskan pembatalan dan penerbitan kembali sebagian besar surat izin mengemudi di negara itu.
Kami memperkirakan lebih dari 16 juta orang Australia memiliki lisensi, dan cenderung menggunakannya sebagai tanda pengenal di dalam Australia daripada membawa paspor mereka. Jadi, jika optusdata Poster BreachForum mengatakan yang sebenarnya, dan hampir 4 juta nomor lisensi dicuri, hampir 25% dari semua lisensi Australia mungkin perlu diganti. Kami tidak tahu seberapa berguna ini sebenarnya dalam kasus SIM Australia, yang dikeluarkan oleh masing-masing negara bagian dan teritori. Di Inggris, misalnya, nomor SIM Anda cukup jelas diturunkan secara algoritmik dari nama dan tanggal lahir Anda, dengan jumlah pengocokan yang sangat sederhana dan hanya beberapa karakter acak yang dimasukkan. Oleh karena itu, lisensi baru mendapat nomor baru yang sangat mirip dengan yang sebelumnya.
Mereka yang tidak memiliki lisensi, atau pengunjung yang telah membeli kartu SIM dari Optus berdasarkan paspor asing, perlu mengganti paspor mereka sebagai gantinya – biaya penggantian paspor Australia mendekati AU$193, paspor Inggris adalah £75 hingga £85, dan perpanjangan AS adalah $130 sampai $160.
(Ada juga pertanyaan tentang waktu tunggu: Australia saat ini menyarankan bahwa paspor pengganti akan memakan waktu setidaknya 6 minggu [2022-09-28T13:50Z], dan itu tanpa lonjakan tiba-tiba yang disebabkan oleh pemrosesan terkait pelanggaran; di Inggris, karena simpanan yang ada, Pemerintah Yang Mulia saat ini memberi tahu pelamar untuk mengizinkan 10 minggu untuk pembaruan paspor.)
Siapa yang menanggung biayanya?
Tentu saja, jika mengganti semua ID yang berpotensi disusupi dianggap perlu, pertanyaan yang membara adalah, “Siapa yang akan membayar?”
Menurut Perdana Menteri Australia, Anthony Albanese, tidak ada keraguan dari mana uang untuk mengganti paspor harus berasal:
Sore ini @albomp memberi parlemen pembaruan penting tentang pelanggaran keamanan Optus.
Kami tidak hanya menuntut Optus membayar paspor pengganti bagi mereka yang terkena dampak pelanggaran, tetapi kami juga berkomitmen untuk memperkuat undang-undang privasi kami melalui tinjauan Undang-Undang Privasi. pic.twitter.com/JyoRJxyM3p
— Clare O'Neil MP (@ClareONeilMP) September 28, 2022
Tidak ada kabar dari legislatif federal tentang penggantian SIM, yang menjadi masalah yang ditangani oleh pemerintah Negara Bagian dan Teritori…
…dan tidak ada kabar apakah “ganti semua dokumen” akan menjadi reaksi rutin setiap kali pelanggaran yang melibatkan dokumen ID dilaporkan, sesuatu yang dapat dengan mudah membanjiri pelayanan publik, mengingat lisensi dan paspor biasanya masing-masing diperkirakan akan bertahan 10 tahun.
Perhatikan ruang ini – ini tampaknya akan menarik!
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Data pelanggaran
- kehilangan data
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- Optus
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- pribadi
- VPN
- website security
- zephyrnet.dll
![S3 Ep91: CodeRed, OpenSSL, bug Java, dan makro Office [Podcast + Transkrip] Intelijen Data PlatoBlockchain. Pencarian Vertikal. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/nsp-1200-300x157.png "S3 Ep91: CodeRed, OpenSSL, bug Java, dan makro Office [Podcast + Transkrip]")
![S3 Ep 126: Harga fast fashion (dan fitur creep) [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Harga fast fashion (dan fitur creep) [Audio + Text]")