オーストラリアの電気通信大手 Optus は、10 万人近くの顧客の機密データを流出させた、簡単に防ぐことができると思われる侵害を調査するために FBI の支援を受けていると伝えられています。
一方、火曜日の侵害の背後にいると思われるハッカーまたはハッカーは、身代金が支払われるまで盗まれたデータのバッチをリリースすると脅迫するとともに、1 万ドルの身代金の要求を撤回しました。 攻撃者はまた、Optus から盗んだすべてのデータを削除したと主張しました。 しかし、明らかに心変わりしたのは、攻撃者がすでに約 10,200 件の顧客レコードのサンプルをリリースした後で、意図の証拠と思われるものでした。
考え直し
攻撃者が身代金要求を撤回した理由とデータ漏洩の脅威は不明のままです。 しかし、ダーク ウェブ フォーラムに投稿された声明では、 そしてdatabreaches.netに再投稿 — 攻撃者とされる人物は、理由の XNUMX つであるデータを見る「目が多すぎる」ことをほのめかしました。 「私たちは誰にもデータを販売しません」とメモには書かれていました。 「ドライブから個人的にデータを削除したくてもできません (コピーのみ)。」
攻撃者は、Optus と、データが漏洩した 10,200 人の顧客にも謝罪しました。 おそらく10,200人のオーストラリア人ですが、残りの人口はNo. 大変申し訳ございません。」
謝罪と盗まれたデータを削除したという攻撃者の主張は、攻撃を取り巻く懸念を和らげる可能性は低い.
オプトゥス は、21 月 XNUMX 日に侵害を最初に開示しました、およびその後の一連の更新で、2017年以降、同社のブロードバンド、モバイル、およびビジネス顧客の現在および以前の顧客に影響を与えると説明しています. 同社によると、侵害により、顧客の名前、生年月日、電話番号、電子メール アドレス、および一部の顧客については、完全な住所、運転免許証情報、またはパスポート番号が漏洩した可能性があります。
顕微鏡下での Optus のセキュリティ プラクティス
この侵害により、ID 詐欺が蔓延しているという懸念が高まり、Optus は、他の措置の中でも特に、オーストラリアのさまざまな州政府と協力して、影響を受けた個人の運転免許証の詳細を会社の費用で変更する可能性について話し合うようになりました。 「連絡が取れ次第、関連する交換費用をカバーするためにあなたのアカウントにクレジットを入れます。 これは自動的に行われるため、連絡する必要はありません」と Optus は顧客に通知しました。 「私たちから連絡がない場合は、運転免許証を変更する必要がないということです。」
データ侵害は、特に根本的なエラーに起因するように見えるため、Optus のセキュリティ対策に真っ向から注目を集めています。 22 月 XNUMX 日のオーストラリア放送協会 (ABC) 身元不明の「上級人物」を引用Optus の内部では、攻撃者は基本的に認証されていないアプリケーション プログラミング インターフェイス (API) を介してデータベースにアクセスできたと述べています。
インサイダーは ABC に対し、攻撃者がアクセスしたライブの顧客 ID データベースは、保護されていない API を介してインターネットに接続されていたと語ったとされています。 許可された Optus システムのみが API を使用することが想定されていました。 しかし、どういうわけか、それはたまたまインターネットに直接接続されていたテスト ネットワークにさらされてしまった、と ABC はインサイダーの言葉を引用しました。
ABC などの報道機関は、Optus の CEO である Kelly Bayer Rosmarin 氏が、同社は巧妙な攻撃の犠牲者であり、攻撃者がアクセスしたと主張するデータは暗号化されていたと主張していると説明しています。
公開された API に関するレポートが真実である場合、Optus は他の多くの人が犯すセキュリティ ミスの犠牲者でした。 Salt Security のソリューション アーキテクトである Adam Fisher 氏は、次のように述べています。 「認証されていない API は侵害するのに何の努力も必要としないため、攻撃者は最初にそれらを探します。」
オープンまたは認証されていない API は、多くの場合、インフラストラクチャ チームまたは認証を管理するチームが何かを誤って構成した結果であると彼は言います。 「アプリケーションを実行するには複数のチームが必要なため、コミュニケーションの誤りが頻繁に発生します」とフィッシャー氏は言います。 彼は、認証されていない API が、OWASP の API セキュリティ脆弱性トップ 10 のリストの XNUMX 番目の位置を占めていると述べています。
今年初めに Imperva が委託したレポートでは、米国の事業は、 API に関連する侵害による 12 億ドルと 23 億ドルの損失 Cloudentity が昨年実施した別の調査ベースの調査では、2022 年に発表されました。 回答者の 44% が、自分の組織でデータ漏洩が発生したと答えています API セキュリティの失効に起因するその他の問題。
「スプーク」アタッカー?
FBI は、Dark Reading の全国報道機関の電子メール アドレスを介したコメントのリクエストにすぐには応答しませんでしたが、 保護者
および他の人は、調査を支援するために米国の法執行機関が呼び出されたと報告しました. の オーストラリア連邦警察Optusの侵害を調査している.
バグ報奨金企業 Bugcrowd の創設者兼 CTO である Casey Ellis 氏は、オーストラリア政府、一般市民、および法執行機関からの侵害に対する厳しい調査が、攻撃者を驚かせた可能性があると述べています。 「この種のインタラクションがこれほど素晴らしいものになることはめったにありません」と彼は言います。 「国の人口のほぼ半分を侵害することは、非常に強烈で非常に強力な注目を集めることになりますが、ここに関与した攻撃者は明らかにこれを過小評価していました.」
彼らの反応は、攻撃者が非常に若く、少なくともこの規模の犯罪行為に慣れていない可能性が高いことを示唆していると彼は述べています。
「明らかに、オーストラリア政府はこの侵害を非常に深刻に受け止めており、攻撃者を貪欲に追跡しています」とフィッシャー氏は付け加えます。 「この強力な反応は攻撃者を不意を突かれた可能性があり」、考え直しを促した可能性があります。 「残念ながら、データはすでに公開されています。 企業がこのようなニュースに登場すると、すべてのハッカーが注意を向けます。」
