호주의 거대 통신업체인 Optus가 쉽게 예방할 수 있었던 침해 사건을 조사하는 과정에서 FBI의 도움을 받은 것으로 알려졌습니다. 이로 인해 약 천만 명의 고객에 대한 민감한 데이터가 노출되었습니다.
한편, 화요일 유출 사건의 배후로 보이는 해커는 몸값이 지불될 때까지 훔친 데이터를 일괄 공개하겠다고 위협하면서 1만 달러의 몸값 요구를 철회했습니다. 공격자는 또한 Optus에서 훔친 모든 데이터를 삭제했다고 주장했습니다. 그러나 이러한 마음의 변화는 공격자가 이미 이전에 의도의 증거로 보이는 약 10,200개의 고객 기록 샘플을 공개한 후에 나타났습니다.
두 번째 생각
공격자가 몸값 요구를 철회한 이유와 데이터 유출 위협은 여전히 불분명하다. 그러나 다크 웹 포럼에 게시된 성명에서 — 그리고 databreaches.net에 다시 게시했습니다. — 공격자로 추정되는 사람은 데이터를 한 가지 이유로 보는 "눈이 너무 많다"고 암시했습니다. 메모에는 “우리는 누구에게도 데이터를 판매하지 않을 것입니다.”라고 적혀 있습니다. "원한다고 해도 할 수 없습니다. 드라이브에서 개인적으로 데이터를 삭제했습니다(복사만 가능)."
공격자는 또한 Optus와 데이터가 유출된 10,200명의 고객에게 사과했습니다. “호주는 사기로 인한 이익을 얻지 못할 것입니다. 이는 모니터링될 수 있습니다. 어쩌면 10,200명의 호주인에게는 그럴 수도 있지만 나머지 인구는 그렇지 않습니다. 정말 미안해요.”
훔친 데이터를 삭제하겠다는 공격자의 주장과 사과는 호주 사상 최대 규모의 침해로 묘사되는 공격을 둘러싼 우려를 누그러뜨리기 어려울 것 같습니다.
Optus 지난 21월 XNUMX일 처음으로 침해 사실을 공개했습니다., 그 이후 일련의 업데이트에서는 2017년부터 회사의 광대역, 모바일 및 비즈니스 고객의 현재 및 이전 고객에게 영향을 미치는 것으로 설명했습니다. 회사에 따르면 이번 침해로 인해 고객 이름, 생년월일, 전화번호, 이메일 주소, 그리고 일부 고객의 경우 전체 주소, 운전면허증 정보 또는 여권 번호가 노출될 가능성이 있습니다.
현미경으로 살펴보는 Optus 보안 관행
이 침해로 인해 광범위한 신원 사기에 대한 우려가 촉발되었으며 Optus는 여러 조치 중에서 호주의 여러 주 정부와 협력하여 회사 비용으로 피해를 입은 개인의 운전 면허증 세부 정보를 변경할 가능성에 대해 논의하게 되었습니다. “저희가 연락을 주시면 관련 교체 비용을 충당할 수 있도록 귀하의 계정에 크레딧을 적립해 드리겠습니다. 우리는 이 작업을 자동으로 수행하므로 귀하가 우리에게 연락할 필요가 없습니다.”라고 Optus는 고객에게 알렸습니다. “만약 우리로부터 연락이 없다면 운전면허증을 변경할 필요가 없다는 의미입니다.”
특히 근본적인 오류로 인해 발생한 것으로 보이기 때문에 데이터 침해로 인해 Optus 보안 관행이 크게 주목을 받았습니다. 22월 XNUMX일 호주방송공사(ABC) 신원불명의 '고위 인사' 인용"라고 Optus 내부에서는 공격자가 기본적으로 인증되지 않은 애플리케이션 프로그래밍 인터페이스(API)를 통해 데이터베이스에 접근할 수 있었다고 말합니다.
내부자는 공격자가 액세스한 실제 고객 신원 데이터베이스가 보호되지 않는 API를 통해 인터넷에 연결되어 있다고 ABC에 말했다고 합니다. 승인된 Optus 시스템만 API를 사용한다고 가정했습니다. 그러나 결국 인터넷에 직접 연결된 테스트 네트워크에 노출됐다고 ABC는 내부 관계자의 말을 인용해 전했다.
ABC와 기타 언론 매체는 Optus CEO인 Kelly Bayer Rosmarin이 회사가 정교한 공격의 피해자였으며 공격자가 액세스했다고 주장하는 데이터가 암호화되었다고 주장했다고 설명했습니다.
노출된 API에 대한 보고가 사실이라면 Optus는 다른 많은 사람들이 저지르는 보안 실수의 피해자였습니다. Salt Security의 솔루션 설계자인 Adam Fisher는 "깨진 사용자 인증은 가장 일반적인 API 취약점 중 하나입니다."라고 말합니다. “인증되지 않은 API는 침해에 아무런 노력도 기울이지 않기 때문에 공격자들은 이를 먼저 찾습니다.”
개방형 또는 인증되지 않은 API는 종종 인프라 팀이나 인증 관리 팀이 무언가를 잘못 구성한 결과라고 그는 말합니다. Fisher는 “애플리케이션을 실행하려면 두 개 이상의 팀이 필요하기 때문에 잘못된 의사소통이 자주 발생합니다.”라고 말합니다. 그는 인증되지 않은 API가 OWASP의 상위 10개 API 보안 취약점 목록에서 두 번째 자리를 차지하고 있다고 지적했습니다.
올해 초 Imperva가 의뢰한 보고서에 따르면 미국 기업은 API 연결 침해로 인해 12억 달러, 23억 달러의 손실 발생 Cloudentity가 작년에 실시한 또 다른 설문 조사 기반 연구에 따르면 응답자의 44%는 자신의 조직에서 데이터 유출을 경험했다고 답했습니다. API 보안 실패로 인한 기타 문제.
"겁먹은" 공격자?
FBI는 전국 공보국 이메일 주소를 통한 Dark Reading의 논평 요청에 즉시 응답하지 않았습니다. 보호자
그리고 다른 사람들은 미국 법 집행 기관이 조사를 지원하기 위해 소집되었다고 보고했습니다. 그만큼 호주 연방 경찰Optus 침해 사건을 조사하고 있는 는 해외 법 집행 기관과 협력하여 책임이 있는 개인이나 단체를 추적하고 있다고 말했습니다.
버그 바운티 회사인 Bugcrowd의 설립자이자 CTO인 Casey Ellis는 호주 정부, 공공 기관, 법 집행 기관이 침해에 대해 집중적으로 조사한 결과 공격자가 겁을 먹었을 수도 있다고 말했습니다. “이러한 유형의 상호 작용이 이번처럼 극적인 경우는 매우 드뭅니다.”라고 그는 말합니다. "한 국가 인구의 거의 절반을 손상시키는 것은 매우 강렬하고 매우 강력한 관심을 받게 될 것이며 여기에 관련된 공격자들은 이를 분명히 과소평가했습니다."
그들의 반응은 위협 행위자가 매우 어리고 적어도 이 정도 규모의 범죄 행위를 처음 접했을 가능성이 높다는 것을 시사합니다.
Fisher는 “분명히 호주 정부는 이번 침해를 매우 심각하게 받아들이고 공격자를 탐욕스럽게 추적하고 있습니다.”라고 덧붙였습니다. “이러한 강력한 대응으로 인해 공격자가 방심했을 수도 있습니다.”라고 생각하면 다시 생각해 볼 수 있을 것입니다. “그러나 불행히도 데이터는 이미 공개되었습니다. 회사가 이런 뉴스를 접하면 모든 해커가 주목하게 됩니다.”
