הפרת Optus - טלקו האוסטרלי אמרו שהיא תצטרך לשלם כדי להחליף תעודות זהות

פריצת הסייבר בשבוע שעבר בטלקו האוסטרלי Optus, שיש לה כ-10 מיליון לקוחות, עוררה את זעמה של ממשלת המדינה על האופן שבו החברה שהופרה צריכה להתמודד עם פרטי תעודת זהות גנובים.

גוון כהה צילומי מסך צץ במהירות לאחר הפיגוע, עם מחתרת פורומים של הפרה משתמש בשם הפשוט של optusdata מציעים שני נתחים של נתונים, בטענה שיש להם שני מסדי נתונים כדלקמן:

  11,200,000 רשומות משתמש עם שם, תאריך לידה, מספר נייד ותעודת זהות 4,232,652 כללו איזשהו תעודת זהות מספר 3,664,598 של תעודות הזהות היו מרישיונות נהיגה 10,000,000 רשומות כתובות עם דואר אלקטרוני, תאריך לידה, תעודת זהות ועוד 3,817,197 מסמכים, 3,238,014 מסמכים ועוד. מהתעודות היו מרישיונות נהיגה

המוכר כתב, "אופטוס אם אתה קורא! המחיר עבורנו לא למכור נתונים [sic] הוא 1,000,000$US! אנחנו נותנים לך שבוע להחליט."

קונים רגילים, אמר המוכר, יכולים לקבל את מסדי הנתונים תמורת 300,000 דולר כמגרש עבודה, אם Optus לא ינצל את הצעת "הגישה הבלעדית" של מיליון דולר בתוך השבוע.

המוכר אמר שהם מצפים לתשלום בצורה של Monero, מטבע קריפטוגרפי פופולרי שקשה יותר לעקוב אחריו מאשר ביטקוין.

עסקאות Monero הן מעורבבים יחד כחלק מפרוטוקול התשלום, מה שהופך את המערכת האקולוגית של Monero למעין כוס קריפטו-מטבעות או אנונימיזציה בפני עצמה.

מה קרה?

פרצת הנתונים עצמה נבעה כנראה מחוסר אבטחה במה שמכונה בעגה נקודת סיום API. (API הוא קיצור של ממשק תכנות יישומים, דרך מוגדרת מראש עבור חלק אחד של אפליקציה, או אוסף של אפליקציות, לבקש שירות כלשהו, ​​או לאחזר נתונים, מאחר.)

באינטרנט, נקודות קצה של API בדרך כלל לובשות צורה של כתובות URL מיוחדות המפעילות התנהגות ספציפית, או מחזירות נתונים מתבקשים, במקום פשוט להגיש דף אינטרנט.

לדוגמה, כתובת אתר כמו https://www.example.com/about יכול פשוט להזין דף אינטרנט סטטי בצורת HTML, כגון:

  
    
       
About this site
       
This site is just an example, as the URL implies.
    
   

ביקור בכתובת האתר עם דפדפן יביא אפוא לדף אינטרנט שנראה כפי שהיית מצפה:

אבל כתובת URL כגון https://api.example.com/userdata?id=23de­6731­e9a7 עשוי להחזיר רשומת מסד נתונים ספציפית למשתמש שצוין, כאילו ביצעת קריאה לפונקציה בתוכנית C בנוסח:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

בהנחה שמזהה המשתמש המבוקש קיים במסד הנתונים, קריאה לפונקציה המקבילה באמצעות בקשת HTTP לנקודת הקצה עשויה להפיק תשובה בפורמט JSON, כך:

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

ב-API מסוג זה, סביר להניח שהייתם מצפים שיהיו כמה אמצעי זהירות בנושא אבטחת סייבר, כגון:

• אימות. ייתכן שכל בקשת אינטרנט תצטרך לכלול כותרת HTTP המציינת קובץ Cookie אקראי (שלא ניתן לנחש) שהונפקה למשתמש שהוכיח לאחרונה את זהותו, למשל עם שם משתמש, סיסמה וקוד 2FA. סוג זה של קובץ Cookie של הפעלה, תקף בדרך כלל לזמן מוגבל בלבד, פועל כמעבר גישה זמני לבקשות חיפוש שבוצעו לאחר מכן על ידי המשתמש המאומת מראש. לכן ניתן לדחות באופן מיידי בקשות API ממשתמשים לא מאומתים או לא ידועים.
• הגבלות גישה. עבור חיפושי מסד נתונים שעשויים לאחזר נתונים אישיים מזהים (PII) כגון מספרי זהות, כתובות בית או פרטי כרטיסי תשלום, השרת שמקבל בקשות של נקודת קצה API עשוי להטיל הגנה ברמת הרשת כדי לסנן בקשות המגיעות ישירות מהאינטרנט. לכן תוקף יצטרך להתפשר תחילה על שרת פנימי, ולא יוכל לחפש נתונים ישירות דרך האינטרנט.
• זיהויי מסד נתונים שקשה לנחש. למרות ביטחון באמצעות סתום (הידוע גם בשם "הם לעולם לא ינחשו את זה") הוא בסיס בסיס גרוע לאבטחת סייבר, אין טעם לעשות דברים קלים יותר ממה שאתה צריך עבור הנוכלים. אם זיהוי המשתמש שלך הוא 00000145, ואתה יודע שחבר שנרשם מיד אחרי שקיבלת 00000148, אז זה ניחוש טוב שערכי משתמש חוקיים מתחילים ב 00000001 ולעלות משם. ערכים שנוצרו באקראי מקשים על תוקפים שכבר מצאו פרצה בבקרת הגישה שלך להפעיל לולאה שמנסה שוב ושוב לאחזר מזהי משתמש סבירים.
• גבול דירוג. ניתן להשתמש בכל רצף חוזר של בקשות דומות כ-IoC פוטנציאלי, או אינדיקטור של פשרה. פושעי סייבר שרוצים להוריד 11,000,000 פריטי מסד נתונים בדרך כלל אינם משתמשים במחשב אחד עם מספר IP בודד כדי לבצע את העבודה כולה, כך שהתקפות הורדה בכמות גדולה לא תמיד ברורות מיד רק מזרימות רשת מסורתיות. אבל לעתים קרובות הם מייצרים דפוסים ושיעורי פעילות שפשוט לא תואמים למה שהיית מצפה לראות בחיים האמיתיים.

ככל הנראה, מעט או אף אחת מההגנות הללו היו במקום במהלך התקפת Optus, במיוחד כולל הראשונה...

...כלומר שהתוקף הצליח לגשת ל-PII מבלי להזדקק כלל להזדהות, שלא לדבר על לגנוב קוד כניסה לגיטימי של משתמש או קובץ Cookie לאימות כדי להיכנס.

איכשהו, כך נראה, נפתחה לאינטרנט בכלל נקודת קצה API עם גישה לנתונים רגישים, שם היא התגלתה על ידי פושע רשת ונוצלה לרעה כדי לחלץ מידע שאמור היה לעמוד מאחורי איזשהו פתח אבטחת סייבר.

כמו כן, אם יש להאמין לטענתו של התוקף שאחזר סך של יותר מ-20,000,000 רשומות מסד נתונים משני מסדי נתונים, אנו מניחים [א] ש-Optus userid קודים מחושבים או ניחושו בקלות, ו-[ב] שאף אזהרת "גישה למסד הנתונים לא הגיעה לרמות חריגות" נדלקה.

למרבה הצער, Optus לא היה נורא ברור לגבי איך התקפה התפתחה, אומר רק:

ש. איך זה קרה?

א.אופטוס היה קורבן של מתקפת סייבר. […]

ש.האם הפיגוע הופסק?

ת. כן. לאחר שגילתה זאת, אופטוס סגרה מיד את המתקפה.

במילים אחרות, נראה כאילו "כיבוי המתקפה" היה כרוך בסגירת הפרצה מפני חדירה נוספת (למשל על ידי חסימת גישה לנקודת הקצה ה-API הלא מאומתת) במקום יירוט של המתקפה הראשונית בשלב מוקדם לאחר שרק מספר מוגבל של רשומות נגנבו .

אנו חושדים שאם Optus הייתה מזהה את המתקפה בזמן שהיא עדיין הייתה בעיצומה, החברה הייתה מציינת בשאלות הנפוצות שלה עד כמה הגיעו הנוכלים לפני שהגישה שלהם נסגרה.

מה הלאה?

מה לגבי לקוחות שמספרי הדרכון או רישיון הנהיגה שלהם נחשפו?

עד כמה סיכון דליפת מספר מסמך מזהה, ולא פרטים מלאים יותר של המסמך עצמו (כגון סריקה ברזולוציה גבוהה או עותק מאושר), מהווה לקורבן של פרצת מידע כמו זו?

כמה ערך זיהוי עלינו לתת למספרי תעודת זהות בלבד, בהתחשב באיזו רחבה ותדירות אנו משתפים אותם בימים אלה?

לטענת ממשלת אוסטרליה, הסיכון משמעותי מספיק, כך שממליץ לקורבנות ההפרה להחליף מסמכים שנפגעו.

ועם אולי מיליוני משתמשים מושפעים, דמי חידוש המסמכים לבדם עלולים להגיע למאות מיליוני דולרים, ולחייב ביטול והנפקה מחדש של חלק ניכר מרישיונות הנהיגה במדינה.

אנו מעריכים שלכ-16 מיליון אוסטרים יש רישיונות, והם נוטים להשתמש בהם כתעודה מזהה בתוך אוסטרליה במקום לסחוב את הדרכונים שלהם. אז, אם ה optusdata הפוסטר של BreachForum אמר את האמת, וקרוב ל-4 מיליון מספרי רישיונות נגנבו, קרוב ל-25% מכל הרישיונות האוסטרליים עשויים להזדקק להחלפה. אנחנו לא יודעים כמה שימושי זה עשוי להיות למעשה במקרה של רישיונות נהיגה אוסטרליים, המונפקים על ידי מדינות וטריטוריות בודדות. בבריטניה, למשל, מספר רישיון הנהיגה שלך נגזר בצורה אלגוריתמית מהשם שלך ומתאריך הלידה שלך, עם כמות צנועה מאוד של ערבוב ורק כמה תווים אקראיים מוכנסים. רישיון חדש מקבל אפוא מספר חדש הדומה מאוד לקודם.

אלה ללא רישיונות, או מבקרים שקנו כרטיסי SIM מ-Optus על בסיס דרכון זר, יצטרכו להחליף את הדרכונים שלהם במקום זאת - החלפת דרכון אוסטרלי עולה קרוב ל-AU$193, דרכון בבריטניה הוא 75 עד 85 ליש"ט, וכן חידוש בארה"ב הוא $130 עד $160.

(יש גם שאלת זמני ההמתנה: אוסטרליה מייעצת כרגע שדרכון חלופי ייקח לפחות 6 שבועות [2022-09-28T13:50Z], וזה ללא עלייה פתאומית שנגרמה מעיבוד הקשור להפרה; בבריטניה, עקב בפיגור קיים, ממשלת הוד מלכותו אומרת כעת לפונים לאפשר 10 שבועות לחידוש הדרכון.)

מי נושא בעלות?

כמובן, אם החלפת כל המזהים שעלולים להיפגע נחשבת הכרחית, השאלה הבוערת היא, "מי ישלם?"

לדברי ראש ממשלת אוסטרליה, אנתוני אלבניז, אין ספק מאיפה צריך להגיע הכסף להחלפת דרכונים:

היום אחר הצהריים @albomp נתן לפרלמנט עדכון חשוב על פרצת האבטחה של Optus.

לא רק שאנו דורשים מ-Optus לשלם עבור דרכונים חלופיים עבור אלה שנפגעו מההפרה, אלא שאנו גם מחויבים לחזק את חוקי הפרטיות שלנו באמצעות סקירת חוק הפרטיות. pic.twitter.com/JyoRJxyM3p

- קלייר אוניל MP (@ClareONeilMP) ספטמבר 28, 2022

אין שום מילה מבית המחוקקים הפדרלי על החלפת רישיונות נהיגה, שזה עניין המטופל על ידי ממשלות מדינה וטריטוריות...

...ושום מילה על האם "החלף את כל המסמכים" תהפוך לתגובה שגרתית בכל פעם שמדווחת על הפרה הכוללת תעודת זהות, דבר שעלול בקלות לשטוף את השירות הציבורי, בהתחשב בכך שרשיונות ודרכונים צפויים להימשך בדרך כלל 10 שנים כל אחד.

צפו בחלל הזה - זה נראה להיות מעניין!

---