Secondo quanto riferito, il gigante australiano delle telecomunicazioni Optus sta ricevendo aiuto dall'FBI per indagare su quella che sembra essere stata una violazione facilmente prevenibile che ha finito per esporre dati sensibili su quasi 10 milioni di clienti.
Nel frattempo, l'apparente hacker o gli hacker dietro la violazione di martedì hanno ritirato la loro richiesta di un riscatto di $ 1 milione insieme alla minaccia di rilasciare lotti dei dati rubati fino al pagamento del riscatto. L'autore della minaccia ha anche affermato di aver cancellato tutti i dati rubati da Optus. L'apparente ripensamento, tuttavia, è avvenuto dopo che già in precedenza l'aggressore aveva rilasciato un campione di circa 10,200 record di clienti, apparentemente come prova delle intenzioni.
Ripensamenti
Il motivo per cui l'attaccante ha ritirato la richiesta di riscatto e la minaccia di fuga di dati rimangono poco chiari. Ma in una dichiarazione pubblicata su un forum del Dark Web — e ripubblicato su databreaches.net - il presunto aggressore ha alluso a "troppi occhi" vedendo i dati come una delle ragioni. "Non venderemo dati a nessuno", si legge nella nota. "Non possiamo nemmeno se lo vogliamo: dati cancellati personalmente dall'unità (solo copia)."
L'aggressore si è anche scusato con Optus e con i 10,200 clienti i cui dati sono stati trapelati: “L'Australia non vedrà alcun guadagno nelle frodi, questo può essere monitorato. Forse per 10,200 australiani ma il resto della popolazione no. Mi dispiace molto per te.
È improbabile che le scuse e le affermazioni dell'attaccante di cancellare i dati rubati plachino le preoccupazioni relative all'attacco, che è stato descritto come la più grande violazione mai registrata in Australia.
Optus ha rivelato per la prima volta la violazione il 21 settembre, e da allora in una serie di aggiornamenti lo ha descritto come riguardante i clienti attuali e precedenti dei clienti a banda larga, mobili e aziendali dell'azienda dal 2017 in poi. Secondo la società, la violazione potrebbe aver potenzialmente esposto i nomi dei clienti, le date di nascita, i numeri di telefono, gli indirizzi e-mail e, per un sottoinsieme di clienti, i loro indirizzi completi, informazioni sulla patente di guida o numeri di passaporto.
Pratiche di sicurezza Optus sotto il microscopio
La violazione ha alimentato le preoccupazioni di una diffusa frode di identità e ha spinto Optus a collaborare, tra le altre misure, con diversi governi statali australiani per discutere la possibilità di modificare i dettagli della patente di guida delle persone interessate a spese dell'azienda. “Quando ci metteremo in contatto, inseriremo un credito sul tuo conto per coprire eventuali costi di sostituzione rilevanti. Lo faremo automaticamente, quindi non è necessario contattarci", ha informato Optus ai clienti. "Se non ricevi nostre notizie, significa che la tua patente non deve essere cambiata."
La compromissione dei dati ha messo sotto i riflettori le pratiche di sicurezza di Optus, soprattutto perché sembra essere il risultato di un errore fondamentale. L'Australian Broadcasting Corporation (ABC) il 22 settembre ha citato una “figura di alto livello” non identificata” all'interno di Optus afferma che l'attaccante è stato sostanzialmente in grado di accedere al database tramite un'interfaccia di programmazione dell'applicazione (API) non autenticata.
L'insider avrebbe detto alla ABC che il database di identità dei clienti in tempo reale a cui ha avuto accesso l'attaccante era connesso tramite un'API non protetta a Internet. Il presupposto era che solo i sistemi Optus autorizzati avrebbero utilizzato l'API. Ma in qualche modo è finito per essere esposto a una rete di prova, che era direttamente collegata a Internet, ha detto la ABC citando l'insider.
ABC e altri media hanno descritto il CEO di Optus Kelly Bayer Rosmarin come insistente sul fatto che la società è stata vittima di un attacco sofisticato e che i dati a cui l'attaccante ha affermato di aver avuto accesso erano crittografati.
Se il rapporto sull'API esposta è vero, Optus è stato vittima di un errore di sicurezza commesso da molti altri. "L'autenticazione dell'utente interrotta è una delle vulnerabilità API più comuni", afferma Adam Fisher, architetto di soluzioni presso Salt Security. "Gli aggressori li cercano prima perché le API non autenticate non fanno alcuno sforzo per violarle".
Le API aperte o non autenticate sono spesso il risultato della configurazione errata di qualcosa da parte del team dell'infrastruttura o del team che gestisce l'autenticazione, afferma. "Poiché è necessario più di un team per eseguire un'applicazione, si verificano spesso problemi di comunicazione", afferma Fisher. Nota che le API non autenticate occupano il secondo posto nell'elenco di OWASP delle 10 principali vulnerabilità di sicurezza delle API.
Un rapporto commissionato da Imperva all'inizio di quest'anno ha identificato le imprese statunitensi come sostenute tra $ 12 miliardi e $ 23 miliardi di perdite dovute a compromissioni legate alle API solo nel 2022. Un altro studio basato su sondaggi che Cloudentity ha condotto l'anno scorso ha trovato Il 44% degli intervistati afferma che la propria organizzazione ha subito perdite di dati e altri problemi derivanti da fallimenti nella sicurezza dell'API.
Attaccante "spaventato"?
L'FBI non ha risposto immediatamente a una richiesta di commento di Dark Reading tramite il suo indirizzo e-mail dell'ufficio stampa nazionale, ma il Custode
e altri hanno riferito che le forze dell'ordine statunitensi sono state chiamate per assistere nelle indagini. IL Polizia federale australiana, che sta indagando sulla violazione di Optus, ha affermato che sta lavorando con le forze dell'ordine estere per rintracciare l'individuo o il gruppo responsabile.
Casey Ellis, fondatore e CTO della società di bug bounty Bugcrowd, afferma che l'intenso controllo che la violazione ha ricevuto dal governo australiano, dal pubblico e dalle forze dell'ordine potrebbe aver spaventato l'aggressore. "È piuttosto raro che questo tipo di interazione sia così spettacolare come lo è stata questa", afferma. "Compromettere quasi la metà della popolazione di un paese attirerà un'attenzione molto intensa e molto potente, e gli aggressori coinvolti qui hanno chiaramente sottovalutato questo aspetto".
La loro risposta suggerisce che gli attori della minaccia sono molto giovani e probabilmente molto nuovi alla condotta criminale, almeno di questa portata, osserva.
"Chiaramente, il governo australiano ha preso molto sul serio questa violazione e sta perseguendo voracemente l'aggressore", aggiunge Fisher. "Questa forte risposta potrebbe aver colto alla sprovvista l'aggressore" e probabilmente ha indotto a ripensarci. “Tuttavia, sfortunatamente, i dati sono già allo scoperto. Una volta che un'azienda si trova nelle notizie in questo modo, ogni hacker presta attenzione.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
