על פי הדיווחים, ענקית התקשורת האוסטרלית Optus מקבלת עזרה מה-FBI בחקירת מה שנראה כפריצה שניתן למנוע בקלות, שבסופו של דבר חשפה נתונים רגישים על כמעט 10 מיליון לקוחות.
בינתיים, ההאקר או ההאקרים לכאורה מאחורי ההפרה ביום שלישי משכו את דרישתם לכופר של מיליון דולר יחד עם איום לשחרר קבוצות של הנתונים הגנובים עד לתשלום הכופר. שחקן האיום גם טען שהוא או היא מחק את כל הנתונים שנגנבו מאופטוס. עם זאת, שינוי הלב לכאורה הגיע לאחר שהתוקף כבר פרסם מדגם של כ-1 רישומי לקוחות, לכאורה כהוכחה לכוונה.
מחשבות שניות
הסיבה של התוקף למשיכת דרישת הכופר ואיום דליפת הנתונים נותרה לא ברורה. אבל בהצהרה שפורסמה בפורום Dark Web - ופורסם מחדש ב-databreaches.net - התוקף לכאורה רמז ל"יותר מדי עיניים" שרואים את הנתונים כסיבה אחת. "לא נמכור נתונים לאף אחד", נכתב בפתק. "אנחנו לא יכולים אם אנחנו אפילו רוצים: נתונים שנמחקו באופן אישי מהכונן (העתק בלבד)."
התוקף גם התנצל בפני Optus ומפני 10,200 הלקוחות שהנתונים שלהם דלפו: "אוסטרליה לא תראה שום רווח בהונאה, ניתן לעקוב אחר זה. אולי עבור 10,200 אוסטרלים אבל שאר האוכלוסייה לא. מצטער לך מאוד."
ההתנצלות והטענות של התוקף למחיקת הנתונים הגנובים לא צפויות להפיג את החששות סביב המתקפה, שתוארה כהפרה הגדולה ביותר אי פעם באוסטרליה.
אופוס חשף לראשונה את ההפרה ב-21 בספטמבר, ובסדרה של עדכונים מאז תיאר זאת כמשפיע על לקוחות נוכחיים וקודמים של לקוחות הפס הרחב, הסלולר והעסקים של החברה משנת 2017 ואילך. לטענת החברה, ייתכן שהפרה חשפה שמות לקוחות, תאריכי לידה, מספרי טלפון, כתובות דוא"ל, ו- עבור תת-קבוצה של לקוחות - הכתובות המלאות שלהם, פרטי רישיון הנהיגה או מספרי הדרכונים שלהם.
שיטות אבטחה של Optus תחת המיקרוסקופ
ההפרה עוררה חששות מהונאת זהות נרחבת ודחפה את Optus לעבוד - בין שאר האמצעים - לעבוד עם ממשלות מדינות שונות באוסטרליה כדי לדון בפוטנציאל של שינוי פרטי רישיון הנהיגה של אנשים שנפגעו במחיר החברה. "כשניצור קשר, נעמיד זיכוי בחשבונך לכיסוי כל עלות החלפה רלוונטית. אנחנו נעשה זאת אוטומטית, כך שלא תצטרכו ליצור איתנו קשר", הודיעה Optus ללקוחות. "אם אתה לא שומע מאיתנו, זה אומר שאין צורך לשנות את רישיון הנהיגה שלך."
פשרת הנתונים שמה את נוהלי האבטחה של Optus במוקד תשומת הלב במיוחד בגלל שנראה שהיא נבעה משגיאה מהותית. תאגיד השידור האוסטרלי (ABC) ב-22 בספטמבר ציטט "דמות בכירה" לא מזוהה" בתוך Optus כאומר שהתוקף הצליח בעצם לגשת למסד הנתונים דרך ממשק תכנות יישומים לא מאומת (API).
המקורב אמר לכאורה ל-ABC כי מסד הנתונים של זהויות הלקוחות החי שאליו ניגש התוקף היה מחובר לאינטרנט באמצעות API לא מוגן. ההנחה הייתה שרק מערכות Optus מורשות ישתמשו ב-API. אבל איכשהו זה בסופו של דבר נחשף לרשת בדיקה, שבמקרה הייתה מחוברת ישירות לאינטרנט, ABC ציטטה את המקורב שאמר.
ABC וכלי תקשורת אחרים תיארו את מנכ"לית Optus, קלי באייר רוזמרין, כמי שמתעקשת שהחברה הייתה קורבן למתקפה מתוחכמת ושהנתונים שאליהם טען התוקף ניגש היו מוצפנים.
אם הדיווח על ה-API החשוף נכון, Optus היה קורבן לטעות אבטחה שרבים אחרים עושים. "אימות משתמש שבור הוא אחת מפגיעות ה-API הנפוצות ביותר", אומר אדם פישר, ארכיטקט פתרונות ב-Salt Security. "תוקפים מחפשים אותם תחילה מכיוון שממשקי API לא מאומתים לא לוקחים מאמץ כדי לפרוץ."
ממשקי API פתוחים או לא מאומתים הם לעתים קרובות תוצאה של צוות התשתית, או הצוות שמנהל את האימות, שגוי בהגדרות של משהו, הוא אומר. "מכיוון שלוקח יותר מצוות אחד כדי להפעיל אפליקציה, מתרחשת לעתים קרובות תקלה בתקשורת", אומר פישר. הוא מציין שממשקי API לא מאומתים תופסים את המקום השני ברשימת 10 פגיעות אבטחת ה-API של OWASP.
דו"ח שהוזמן על ידי Imperva מוקדם יותר השנה זיהה עסקים בארה"ב כמגיעים בין הפסדים של 12 מיליארד דולר ו-23 מיליארד דולר מפשרות צמודות API רק בשנת 2022. מחקר נוסף מבוסס סקר שערכה Cloudentity בשנה שעברה מצא 44% מהמשיבים אמרו שהארגון שלהם חוו דליפת נתונים ובעיות אחרות הנובעות מפסילות אבטחת API.
תוקף "מבוהל"?
ה-FBI לא הגיב מיד לבקשת Dark Reading להגיב דרך כתובת הדוא"ל של לשכת העיתונות הלאומית שלו, אלא אפוטרופוס
ואחרים דיווחו כי סוכנות אכיפת החוק האמריקאית נקראה לסייע בחקירה. ה המשטרה הפדרלית האוסטרלית, אשר חוקרת את הפרת Optus, אמרה כי היא עובדת עם רשויות אכיפת החוק בחו"ל כדי לאתר את האדם או הקבוצה האחראים לה.
קייסי אליס, מייסד ו-CTO של חברת הבאונטי באגקרואד, אומר שהבדיקה האינטנסיבית שהפרצה קיבלה מממשלת אוסטרליה, הציבור ורשויות החוק, עשויה להפחיד את התוקף. "זה די נדיר שסוג אינטראקציה זה יהיה מרהיב כמו האינטראקציה הזו", הוא אומר. "התפשרות של כמעט מחצית מאוכלוסיית המדינה הולכת למשוך הרבה מאוד תשומת לב אינטנסיבית ועוצמתית מאוד, והתוקפים המעורבים כאן זלזלו בבירור בזה".
התגובה שלהם מעידה ששחקני האיום הם צעירים מאוד וסביר להניח שהם חדשים מאוד בהתנהגות פלילית, לפחות בקנה מידה כזה, הוא מציין.
"ברור שממשלת אוסטרליה לקחה את ההפרה הזו ברצינות רבה ורודפת אחרי התוקף ברעבתנות", מוסיף פישר. "התגובה החזקה הזו עלולה לתפוס את התוקף", וכנראה עוררה מחשבות שניות. "עם זאת, למרבה הצער, הנתונים כבר גלויים. ברגע שחברה מוצאת את עצמה בחדשות כך, כל האקר שם לב".
