Violazione di Optus: la società di telecomunicazioni australiana ha dichiarato che dovrà pagare per sostituire gli ID PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

Violazione di Optus - La società di telecomunicazioni australiana ha detto che dovrà pagare per sostituire gli ID

Timestamp: 28 settembre 2022 9:55

by
Paul Ducklin

L'intrusione informatica della scorsa settimana presso la società di telecomunicazioni australiana Optus, che ha circa 10 milioni di clienti, ha suscitato l'ira del governo del paese su come la società violata dovrebbe gestire i dettagli dell'identità rubata.

Darkweb screenshot emerse subito dopo l'attacco, con una metropolitana Violare Forum utente che usa il nome in chiaro di optusdata offrendo due tranche di dati, sostenendo che avevano due database come segue:

  11,200,000 record utente con nome, data di nascita, numero di cellulare e ID 4,232,652 record includevano una sorta di numero di documento di identità 3,664,598 di ID provenivano da patenti di guida 10,000,000 record di indirizzo con e-mail, data di nascita, ID e altro 3,817,197 avevano numeri di documento di identità 3,238,014 degli ID provenivano dalle patenti di guida

Il venditore ha scritto “Optus se stai leggendo! Il prezzo per non vendere i dati [sic] è di 1,000,000 $ US! Ti diamo 1 settimana per decidere".

Gli acquirenti regolari, ha detto il venditore, potrebbero avere i database per $ 300,000 come lotto di lavoro, se Optus non accettasse la sua offerta di "accesso esclusivo" da $ 1 milione entro la settimana.

Il venditore ha affermato di aspettarsi un pagamento sotto forma di Monero, una popolare criptovaluta più difficile da rintracciare rispetto a Bitcoin.

Le transazioni Monero lo sono mescolati insieme come parte del protocollo di pagamento, trasformando l'ecosistema Monero in una sorta di criptomonete o anonimizzatore a sé stante.

Che cosa è successo?

La violazione dei dati stessa era apparentemente dovuta alla mancanza di sicurezza su ciò che è noto nel gergo come an Endpoint API. (API è l'abbreviazione di Interfaccia di programmazione applicazioni, un modo predefinito per una parte di un'app, o una raccolta di app, di richiedere una sorta di servizio o di recuperare dati da un'altra.)

Sul Web, gli endpoint API normalmente assumono la forma di URL speciali che attivano un comportamento specifico o restituiscono i dati richiesti, invece di servire semplicemente una pagina Web.

Ad esempio, un URL come https://www.example.com/about potrebbe semplicemente restituire una pagina Web statica in formato HTML, come ad esempio:

  
    
       
About this site

       
This site is just an example, as the URL implies.

Visitare l'URL con un browser risulterebbe quindi in una pagina Web che avrà l'aspetto che ti aspetteresti:

Ma un URL come https://api.example.com/userdata?id=23de­6731­e9a7 potrebbe restituire un record di database specifico per l'utente specificato, come se avessi eseguito una chiamata di funzione in un programma C sulla falsariga di:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Supponendo che l'ID utente richiesto esistesse nel database, chiamare la funzione equivalente tramite una richiesta HTTP all'endpoint potrebbe produrre una risposta in formato JSON, come questa: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

In un'API di questo tipo, probabilmente ti aspetteresti che siano in atto diverse precauzioni di sicurezza informatica, come ad esempio:

  • Autenticazione. Ciascuna richiesta web potrebbe dover includere un'intestazione HTTP che specifichi un cookie di sessione casuale (non intuibile) rilasciato a un utente che ha recentemente dimostrato la propria identità, ad esempio con un nome utente, una password e un codice 2FA. Questo tipo di cookie di sessione, tipicamente valido solo per un tempo limitato, funge da pass di accesso temporaneo per le richieste di ricerca successivamente eseguite dall'utente pre-autenticato. Le richieste API di utenti non autenticati o sconosciuti possono quindi essere immediatamente rifiutate.
  • Restrizioni di accesso. Per le ricerche nel database che potrebbero recuperare dati di identificazione personale (PII) come numeri ID, indirizzi di casa o dettagli della carta di pagamento, il server che accetta le richieste dell'endpoint API potrebbe imporre una protezione a livello di rete per filtrare le richieste provenienti direttamente da Internet. Un utente malintenzionato dovrebbe quindi prima compromettere un server interno e non sarebbe in grado di sondare i dati direttamente su Internet.
  • Identificatori di database difficili da indovinare. Sebbene il sicurezza attraverso l'oscurità (noto anche come "non lo indovineranno mai") ​​è una base scarsa per la sicurezza informatica, non ha senso rendere le cose più facili del necessario per i criminali. Se lo è il tuo userid 00000145, e sai che un amico che si è iscritto subito dopo che hai ottenuto 00000148, quindi è una buona ipotesi che i valori di userid validi inizino a 00000001 e sali da lì. I valori generati casualmente rendono più difficile per gli aggressori che hanno già trovato una scappatoia nel controllo di accesso eseguire un ciclo che tenta più e più volte di recuperare probabili ID utente.
  • Limitazione di velocità. Qualsiasi sequenza ripetitiva di richieste simili può essere utilizzata come potenziale IoC o indicatore di compromesso. I criminali informatici che desiderano scaricare 11,000,000 di elementi di database generalmente non utilizzano un solo computer con un unico numero IP per eseguire l'intero lavoro, quindi gli attacchi di download in blocco non sono sempre immediatamente evidenti solo dai flussi di rete tradizionali. Ma spesso generano schemi e tassi di attività che semplicemente non corrispondono a ciò che ti aspetteresti di vedere nella vita reale.

Apparentemente, poche o nessuna di queste protezioni era in atto durante l'attacco di Optus, in particolare inclusa la prima...

...il che significa che l'attaccante è stato in grado di accedere alle PII senza mai aver bisogno di identificarsi, per non parlare di rubare il codice di accesso di un utente legittimo o un cookie di autenticazione per entrare.

In qualche modo, a quanto pare, un endpoint API con accesso a dati sensibili è stato aperto a Internet in generale, dove è stato scoperto da un criminale informatico e abusato per estrarre informazioni che avrebbero dovuto essere dietro una sorta di saracinesca di sicurezza informatica.

Inoltre, se si deve credere all'affermazione dell'attaccante di aver recuperato un totale di oltre 20,000,000 di record di database da due database, supponiamo [a] che Optus userid i codici erano facilmente calcolabili o intuibili e [b] che nessun avviso "l'accesso al database ha raggiunto livelli insoliti" è stato visualizzato.

Sfortunatamente, Optus non è stato molto chiaro su come il attacco svolto, dicendo semplicemente:

D. Come è successo?

R. Optus è stato vittima di un attacco informatico. […]

D. L'attacco è stato fermato?

R. Sì. Dopo aver scoperto questo, Optus ha immediatamente interrotto l'attacco.

In altre parole, sembra che "chiudere l'attacco" significhi chiudere la scappatoia contro ulteriori intrusioni (ad esempio bloccando l'accesso all'endpoint API non autenticato) piuttosto che intercettare l'attacco iniziale subito dopo che solo un numero limitato di record era stato rubato .

Sospettiamo che se Optus avesse rilevato l'attacco mentre era ancora in corso, l'azienda avrebbe dichiarato nelle sue FAQ fino a che punto erano arrivati ​​i criminali prima che il loro accesso fosse interrotto.

Cosa accadrà?

Che dire dei clienti il ​​cui numero di passaporto o patente di guida è stato esposto?

Qual è il rischio che la perdita di un numero di documento d'identità, piuttosto che dettagli più completi del documento stesso (come una scansione ad alta risoluzione o una copia certificata), rappresenta per la vittima di una violazione dei dati come questa?

Quanto valore identificativo dovremmo attribuire ai soli numeri ID, visto quanto ampiamente e frequentemente li condividiamo in questi giorni?

Secondo il governo australiano, il rischio è abbastanza significativo che alle vittime della violazione venga consigliato di sostituire i documenti interessati.

E con forse milioni di utenti interessati, le sole spese di rinnovo dei documenti potrebbero arrivare a centinaia di milioni di dollari e richiedere la cancellazione e la riemissione di una parte significativa delle patenti di guida del paese.

Stimiamo che circa 16 milioni di australiani abbiano licenze e siano inclini a usarle come carta d'identità all'interno dell'Australia invece di portare con sé i passaporti. Quindi, se il optusdata Il poster di BreachForum diceva la verità e quasi 4 milioni di numeri di licenza sono stati rubati, quasi il 25% di tutte le licenze australiane potrebbe dover essere sostituito. Non sappiamo quanto possa essere effettivamente utile nel caso delle patenti di guida australiane, rilasciate da singoli stati e territori. Nel Regno Unito, ad esempio, il numero della tua patente di guida è ovviamente derivato algoritmicamente dal tuo nome e data di nascita, con una quantità molto modesta di mescolamenti e solo pochi caratteri casuali inseriti. Una nuova licenza ottiene quindi un nuovo numero molto simile a quello precedente.

Quelli senza licenza, o visitatori che avevano acquistato carte SIM da Optus sulla base di un passaporto straniero, dovrebbero invece sostituire i loro passaporti: una sostituzione del passaporto australiano costa vicino a AU $ 193, un passaporto del Regno Unito costa £ 75 a £ 85 e un rinnovo negli Stati Uniti è compreso tra $ 130 e $ 160.

(C'è anche la questione dei tempi di attesa: l'Australia attualmente avvisa che il passaporto sostitutivo richiederà almeno 6 settimane [2022-09-28T13:50Z], e questo senza un'impennata improvvisa causata dall'elaborazione relativa alla violazione; nel Regno Unito, a causa di arretrati esistenti, il governo di Sua Maestà sta attualmente dicendo ai richiedenti di concedere 10 settimane per il rinnovo del passaporto.)

Chi sostiene il costo?

Naturalmente, se si ritiene necessaria la sostituzione di tutti gli ID potenzialmente compromessi, la domanda scottante è: "Chi pagherà?"

Secondo il primo ministro australiano, Anthony Albanese, non c'è dubbio da dove dovrebbero provenire i soldi per sostituire i passaporti:

Non c'è nessuna parola dal legislatore federale sulla sostituzione delle patenti di guida, trattandosi di una questione gestita dai governi statali e territoriali...

... e nessuna parola sul fatto che "sostituire tutti i documenti" diventerà una reazione di routine ogni volta che viene segnalata una violazione che coinvolge un documento d'identità, qualcosa che potrebbe facilmente sommergere il servizio pubblico, dato che di solito le licenze e i passaporti dovrebbero durare 10 anni ciascuno.

Guarda questo spazio: sembra destinato a diventare interessante!

Timestamp:

Di più da Sicurezza nuda