約 10 万人の顧客を持つオーストラリアの通信会社 Optus に対する先週のサイバー侵入は、侵害された会社が盗まれた ID の詳細にどのように対処すべきかについて、国の政府の怒りを引き起こしました。
ダークウェブ スクリーンショット 攻撃後すぐに地下に浮上 違反フォーラム 平易な名前で通っているユーザー optusdata
次のように XNUMX つのデータベースを持っていると主張して、XNUMX つのトランシェのデータを提供します。
名前、生年月日、携帯電話番号、ID を含む 11,200,000 のユーザー レコード 4,232,652 のレコードには、何らかの ID 文書番号が含まれていました 3,664,598 の ID は、運転免許証からのものでした 10,000,000 のアドレス レコードには、電子メール、生年月日、ID などが含まれていました 3,817,197 には、ID 文書番号 3,238,014 がありましたの ID は運転免許証からのものでした
売り手は書いた、 「読んでいるならオプタス! [sic] データを販売しない場合の価格は 1,000,000 米ドルです! 決定するまでに 1 週間の猶予を与えます。」
Optus が 300,000 週間以内に 1 万ドルの「独占アクセス」オファーを受け入れなければ、通常のバイヤーは XNUMX 万ドルでデータベースを手に入れることができる、と売り手は述べた。
売り手は、Bitcoin よりも追跡が難しい人気のある暗号通貨である Monero の形での支払いを期待していると述べました。
モネロ取引は 一緒に混ぜた 支払いプロトコルの一部として、Monero エコシステムを一種のクリプトコインタンブラーまたはアノニマイザーにしています。
何が起こったのか?
データ侵害自体は、専門用語で「セキュリティ」として知られているセキュリティの欠如に起因していたようです。 APIエンドポイント. (APIはの略です アプリケーション プログラミング インターフェイス、 アプリの一部またはアプリのコレクションが、ある種のサービスを要求したり、別のサービスからデータを取得したりするための定義済みの方法です。)
Web では、API エンドポイントは通常、単に Web ページを提供するのではなく、特定の動作をトリガーしたり、要求されたデータを返したりする特別な URL の形式をとります。
たとえば、次のような URL https://www.example.com/about
次のような静的な Web ページを HTML 形式で単純にフィードバックする場合があります。
About this site
This site is just an example, as the URL implies.
したがって、ブラウザーで URL にアクセスすると、期待どおりの Web ページが表示されます。
しかし、次のような URL https://api.example.com/userdata?id=23de6731e9a7
次の行に沿って C プログラムで関数呼び出しを行ったかのように、指定されたユーザーに固有のデータベース レコードを返す場合があります。
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
要求されたユーザー ID がデータベースに存在すると仮定すると、エンドポイントへの HTTP 要求を介して同等の関数を呼び出すと、次のように JSON 形式で応答が生成される可能性があります。
{ "userid" : "23de6731e9a7", "nickname" : "duck", "fullname" : "Paul Ducklin", "IDnum" : "42-4242424242" }
この種の API では、次のようないくつかのサイバーセキュリティ対策が講じられていることを期待するでしょう。
- 鑑定 各 Web リクエストには、たとえばユーザー名、パスワード、2FA コードなどを使用して、最近 ID を証明したユーザーに発行されたランダムな (推測不可能な) セッション Cookie を指定する HTTP ヘッダーを含める必要がある場合があります。 この種のセッション cookie は、通常、限られた時間のみ有効であり、事前認証されたユーザーによってその後実行されるルックアップ リクエストの一時的なアクセス パスとして機能します。 したがって、認証されていないユーザーや不明なユーザーからの API リクエストは即座に拒否できます。
- アクセス制限。 ID 番号、自宅の住所、支払いカードの詳細などの個人を特定できるデータ (PII) を取得する可能性のあるデータベース ルックアップの場合、API エンドポイント リクエストを受け入れるサーバーは、ネットワーク レベルの保護を適用して、インターネットから直接送信されるリクエストを除外する場合があります。 したがって、攻撃者は最初に内部サーバーを侵害する必要があり、インターネット経由でデータを直接調べることはできません。
- 推測しにくいデータベース識別子。 しかし あいまいさによるセキュリティ (「彼らはそれを決して推測しない」とも呼ばれます) は、サイバーセキュリティの基本的な基盤として不十分です。 自分のユーザーIDが
00000145
、そしてあなたが得た直後にサインアップした友人が00000148
の場合、有効なユーザー ID 値が00000001
そしてそこから登ります。 ランダムに生成された値により、アクセス制御の抜け穴をすでに発見している攻撃者が、可能性のあるユーザー ID を取得しようと何度も試行するループを実行することが難しくなります。 - レート制限。 同様のリクエストの繰り返しシーケンスは、潜在的な IoC として使用できます。 妥協の兆候. 11,000,000 件のデータベース アイテムをダウンロードしたいサイバー犯罪者は、通常、単一の IP 番号を持つ XNUMX 台のコンピューターを使用してすべての作業を実行することはありません。そのため、従来のネットワーク フローだけでは、一括ダウンロード攻撃がすぐにわかるとは限りません。 しかし、それらは、実際の生活で目にすることを期待するものとは単純に一致しないパターンと活動率を生成することがよくあります.
どうやら、Optus 攻撃の間、特に最初のものを含め、これらの保護はほとんど、またはまったく行われていなかったようです…
…つまり、攻撃者は、正当なユーザーのログイン コードや認証 Cookie を盗んで侵入することはおろか、自分自身を特定する必要もなく、PII にアクセスできたということです。
どういうわけか、機密データにアクセスできる API エンドポイントがインターネット全体に公開され、サイバー犯罪者によって発見され、悪用されて、ある種のサイバーセキュリティ ポートカリスの背後にあるはずの情報が抽出されたようです。
また、20,000,000 つのデータベースから合計 XNUMX を超えるデータベース レコードを取得したという攻撃者の主張が信じられる場合、[a] Optus は [a] userid
コードは簡単に計算または推測され、[b] 「データベース アクセスが異常なレベルに達した」という警告は発せられませんでした。
残念ながら、Optus は、 展開された攻撃、単に言って:
Q.どうしてこうなったの?
A. Optus はサイバー攻撃の被害者でした。 […]
Q. 攻撃は止められましたか?
A.はい。 これを発見すると、Optus はすぐに攻撃をシャットダウンしました。
つまり、限られた数のレコードが盗まれただけで最初の攻撃を早期に傍受するのではなく、「攻撃をシャットダウンする」ということは、さらなる侵入に対して抜け穴を閉じること (たとえば、認証されていない API エンドポイントへのアクセスをブロックすることによって) を伴うように見えます。 .
Optus が攻撃の最中に攻撃を検出した場合、同社は FAQ で、アクセスが遮断されるまでに攻撃者がどこまで到達したかを述べていただろうと思われます。
次は何?
パスポートや運転免許証の番号が流出した顧客はどうなるのですか?
文書自体のより完全な詳細 (高解像度スキャンや認証済みコピーなど) ではなく、ID 文書番号を漏洩することは、このようなデータ侵害の被害者にどの程度のリスクをもたらすでしょうか?
最近 ID 番号を広く、頻繁に共有していることを考えると、ID 番号だけにどれだけの識別価値を与えるべきでしょうか?
オーストラリア政府によると、このリスクは重大であり、侵害の被害者は影響を受けた文書を差し替えるようにアドバイスされています。
何百万人ものユーザーが影響を受ける可能性があるため、書類の更新費用だけでも数億ドルに上る可能性があり、国の運転免許証のかなりの部分の取り消しと再発行が必要になる可能性があります。
約 16 万人以上のオーストラリア人が免許を持っていると推定されており、パスポートを持ち歩く代わりに、オーストラリア国内で ID として使用する傾向があります。 したがって、 optusdata
BreachForum のポスターは真実を語っており、4 万近くのライセンス番号が盗まれており、オーストラリアのすべてのライセンスの 25% 近くが交換が必要になる可能性があります。 個々の州や準州によって発行されるオーストラリアの運転免許証の場合、これが実際にどれほど役立つかはわかりません。 たとえば、英国では、運転免許証番号は、非常に控えめな量のシャッフルと数個のランダムな文字の挿入により、名前と生年月日からアルゴリズム的に導き出されます。 したがって、新しいライセンスは、以前のライセンスと非常によく似た新しい番号を取得します。
免許を持っていない人、または外国のパスポートに基づいて Optus から SIM カードを購入した訪問者は、代わりにパスポートを交換する必要があります。米国での更新は 193 ドルから 75 ドルです。
(待機時間の問題もあります。オーストラリアは現在、パスポートの再発行に少なくとも 6 週間かかるとアドバイスしています [2022-09-28T13:50Z]。侵害関連の処理によって突然急増することはありません。英国では、現在、政府はパスポートの更新に 10 週間かかることを申請者に伝えています。)
費用は誰が負担する?
もちろん、侵害された可能性のあるすべての ID を置き換える必要があると考えられる場合、最も重要な問題は次のとおりです。 「誰が払うの?」
オーストラリアのアンソニー・アルバニーズ首相によると、パスポートを交換するための資金がどこから得られるかは疑いの余地がありません。
今日の午後 @albomp Optus のセキュリティ侵害に関する重要な最新情報を議会に提出しました。
侵害の影響を受けた人々のためにパスポートを交換するためにオプタスに支払いを要求するだけでなく、プライバシー法の見直しを通じてプライバシー法を強化することにも取り組んでいます. pic.twitter.com/JyoRXXSyM3p
— クレア・オニール MP (@ClareONeilMP) 2022 年 9 月 28 日
運転免許証の更新について連邦議会から何の連絡もありません。これは州政府とテリトリー政府によって処理されます…
…そして、ID ドキュメントに関連する違反が報告されるたびに、「すべてのドキュメントを交換する」かどうかについての言葉はありません。これは、ライセンスとパスポートが通常それぞれ 10 年間存続すると予想されることを考えると、公共サービスを簡単に圧倒する可能性があるものです。
このスペースを見てください - これは面白くなるように見えます!