Optus 위반 – Aussie telco는 ID를 교체하려면 비용을 지불해야 한다고 말했습니다.

지난 주에 약 천만 명의 고객을 보유한 호주 통신업체 Optus의 사이버 침입은 침해된 회사가 도난당한 ID 세부 정보를 처리하는 방법에 대해 국가 정부의 분노를 불러일으켰습니다.

다크 웹 스크린 샷 공격 후 재빨리 수면 위로 떠올랐다. 위반 포럼 평범한 이름을 사용하는 사용자 optusdata 다음과 같이 두 개의 데이터베이스가 있다고 주장하면서 두 개의 데이터 트랜치를 제공합니다.

  이름, 생년월일, 모바일 번호 및 ID가 포함된 11,200,000개의 사용자 레코드 4,232,652개의 ID 문서 번호가 포함된 레코드 3,664,598개 ID 중 10,000,000개는 운전 면허증에서 가져온 것 3,817,197개 이메일, 생년월일, ID 문서 번호가 포함된 3,238,014개의 문서 번호 XNUMX개 ID 중 운전 면허증에서 가져온 것

판매자가 쓴, “당신이 읽고 있다면 Optus! [원문 그대로] 데이터를 판매하지 않는 가격은 1,000,000$US입니다! 1주일의 시간이 주어집니다.”

판매자는 Optus가 일주일 내에 300,000만 달러의 "독점 액세스" 제안을 수락하지 않으면 일반 구매자가 1달러에 데이터베이스를 고용할 수 있다고 말했습니다.

판매자는 Bitcoin보다 추적하기 어려운 인기있는 cryptocurrency 인 Monero 형태로 지불을 기대한다고 말했습니다.

모네로 거래는 함께 혼합 지불 프로토콜의 일부로 Monero 생태계를 일종의 암호 화폐 텀블러 또는 익명화로 만듭니다.

무슨 일이야?

데이터 침해 자체는 전문 용어로 알려진 보안에 대한 누락으로 인한 것 같습니다. API 엔드 포인트. (API는 응용 프로그래밍 인터페이스, 앱의 한 부분 또는 앱 모음이 일종의 서비스를 요청하거나 다른 부분에서 데이터를 검색하기 위해 미리 정의된 방법입니다.)

웹에서 API 끝점은 일반적으로 단순히 웹 페이지를 제공하는 대신 특정 동작을 트리거하거나 요청된 데이터를 반환하는 특수 URL의 형태를 취합니다.

예를 들어 다음과 같은 URL은 https://www.example.com/about 다음과 같은 HTML 형식의 정적 웹 페이지를 간단히 피드백할 수 있습니다.

  
    
       
About this site
       
This site is just an example, as the URL implies.
    
   

따라서 브라우저로 URL을 방문하면 예상한 대로 웹 페이지가 표시됩니다.

그러나 다음과 같은 URL https://api.example.com/userdata?id=23de­6731­e9a7 다음 행을 따라 C 프로그램에서 함수 호출을 수행한 것처럼 지정된 사용자와 관련된 데이터베이스 레코드를 반환할 수 있습니다.

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

요청한 사용자 ID가 데이터베이스에 존재한다고 가정할 때 엔드포인트에 대한 HTTP 요청을 통해 동등한 함수를 호출하면 다음과 같이 JSON 형식의 응답이 생성될 수 있습니다.

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

이러한 종류의 API에서는 다음과 같은 몇 가지 사이버 보안 예방 조치가 있을 것으로 예상할 수 있습니다.

• 입증. 각 웹 요청에는 예를 들어 사용자 이름, 암호 및 2FA 코드와 같이 최근에 자신의 신원을 증명한 사용자에게 발급된 임의의(추측할 수 없는) 세션 쿠키를 지정하는 HTTP 헤더가 포함될 수 있습니다. 일반적으로 제한된 시간 동안만 유효한 이러한 종류의 세션 쿠키는 사전 인증된 사용자가 이후에 수행하는 조회 요청에 대한 임시 액세스 패스 역할을 합니다. 따라서 인증되지 않았거나 알 수 없는 사용자의 API 요청은 즉시 거부될 수 있습니다.
• 액세스 제한. ID 번호, 집 주소 또는 지불 카드 세부 정보와 같은 개인 식별 데이터(PII)를 검색할 수 있는 데이터베이스 조회의 경우 API 끝점 요청을 수락하는 서버는 인터넷에서 직접 들어오는 요청을 필터링하기 위해 네트워크 수준 보호를 적용할 수 있습니다. 따라서 공격자는 먼저 내부 서버를 손상시켜야 하며 인터넷을 통해 직접 데이터를 조사할 수 없습니다.
• 추측하기 어려운 데이터베이스 식별자. 이기는하지만 모호함을 통한 보안 ("그들은 절대 추측하지 않을 것"이라고도 함) 사이버 보안에 대한 기본 기반이 열악하므로 사기꾼을 위해 해야 하는 것보다 쉽게 ​​일을 만드는 것은 의미가 없습니다. 자신의 사용자 ID가 00000145, 그리고 당신은 당신이 받은 직후에 가입한 친구가 00000148, 유효한 사용자 ID 값이 다음에서 시작하는 것이 좋습니다. 00000001 그리고 거기에서 위로 올라갑니다. 무작위로 생성된 값은 이미 액세스 제어에서 허점을 발견한 공격자가 가능한 사용자 ID를 검색하기 위해 반복적으로 시도하는 루프를 실행하기 어렵게 만듭니다.
• 속도 제한. 유사한 요청의 반복적인 시퀀스를 잠재적인 IoC로 사용할 수 있습니다. 타협의 지표. 11,000,000개의 데이터베이스 항목을 다운로드하려는 사이버 범죄자는 일반적으로 단일 IP 번호를 가진 단일 컴퓨터를 사용하여 전체 작업을 수행하지 않습니다. 따라서 대량 다운로드 공격이 기존 네트워크 흐름에서 항상 즉각적으로 나타나는 것은 아닙니다. 그러나 실제 생활에서 볼 것으로 기대하는 것과 일치하지 않는 패턴과 활동 비율을 생성하는 경우가 많습니다.

분명히 첫 번째 공격을 포함하여 Optus 공격 중에 이러한 보호 기능이 거의 또는 전혀 없었습니다.

...즉, 공격자가 자신을 식별할 필요 없이 PII에 액세스할 수 있었고, 합법적인 사용자의 로그인 코드나 인증 쿠키를 훔쳐 들어갈 수 있었습니다.

여하튼, 민감한 데이터에 액세스할 수 있는 API 엔드포인트가 인터넷에 공개된 것 같습니다. 인터넷에서 사이버 범죄자가 이를 발견하고 일종의 사이버 보안 포트쿨리스 뒤에 있어야 하는 정보를 추출하는 데 악용되었습니다.

또한 공격자가 두 데이터베이스에서 총 20,000,000개 이상의 데이터베이스 레코드를 검색했다는 주장이 믿어진다면 [a] Optus가 userid 코드는 쉽게 계산되거나 추측되었으며 [b] "데이터베이스 액세스가 비정상적인 수준에 도달했습니다"라는 경고가 발생하지 않았습니다.

불행히도 Optus는 공격 전개, 단순히 말한다:

Q. 어떻게 된 일입니까?

A. Optus는 사이버 공격의 피해자였습니다. […]

Q. 공격이 막혔나요?

A. 네. 이를 발견한 Optus는 즉시 공격을 중단했습니다.

즉, 제한된 수의 레코드만 도난당한 후 초기 공격을 조기에 가로채기보다는 추가 침입(예: 인증되지 않은 API 엔드포인트에 대한 액세스 차단)에 대한 허점을 닫는 것과 관련된 "공격 차단"이 포함된 것처럼 보입니다. .

Optus가 공격이 아직 진행 중일 때 감지했다면 회사는 FAQ에서 액세스가 차단되기 전에 사기꾼이 얼마나 멀리 있었는지 명시했을 것입니다.

다음은?

여권 또는 운전면허증 번호가 노출된 고객은 어떻게 됩니까?

문서 자체의 보다 완전한 세부 정보(예: 고해상도 스캔 또는 인증 사본)가 아닌 ID 문서 번호를 누출하면 이와 같은 데이터 유출의 피해자가 얼마나 위험에 처할 수 있습니까?

오늘날 우리가 얼마나 광범위하고 자주 공유하는지 고려할 때 우리는 ID 번호에만 얼마나 식별 가치를 부여해야합니까?

호주 정부에 따르면 침해의 피해자는 영향을 받는 문서를 교체하라는 조언을 받을 만큼 위험이 심각합니다.

그리고 영향을 받는 사용자가 수백만 명에 달할 수 있으므로 문서 갱신 비용만 수억 달러에 달할 수 있으며 국가 운전 면허증의 상당 부분을 취소하고 재발급해야 합니다.

약 16만 명 이상의 호주인이 면허증을 소지하고 있으며 호주 내에서 여권을 휴대하는 대신 신분증으로 사용하는 것으로 추정됩니다. 그래서 만약 optusdata BreachForum 포스터는 사실을 말하고 있으며 거의 ​​4백만 개의 라이센스 번호가 도난당했으며 모든 호주 라이센스의 25%에 가까운 교체가 필요할 수 있습니다. 개별 주와 테리토리에서 발급하는 호주 운전 면허증의 경우 이것이 실제로 얼마나 유용한지 모릅니다. 예를 들어 영국에서 운전 면허증 번호는 이름과 생년월일에서 알고리즘 방식으로 매우 명확하게 파생되며 매우 적은 양의 셔플과 몇 개의 임의 문자가 삽입됩니다. 따라서 새 라이센스에는 이전 라이센스와 매우 유사한 새 번호가 부여됩니다.

면허가 없거나 외국 여권을 기반으로 Optus에서 SIM 카드를 구입한 방문자는 대신 여권을 교체해야 합니다. 미국 갱신은 $193에서 $75입니다.

(대기 시간에 대한 질문도 있습니다. 호주는 현재 여권 교체에 최소 6주가 소요될 것이라고 조언하고 있으며 [2022-09-28T13:50Z], 이는 위반 관련 처리로 인한 갑작스러운 급증이 아닙니다. 기존 잔고, 폐하 정부는 현재 신청자에게 여권 갱신을 위해 10주를 허용하라고 말하고 있습니다.)

비용은 누가 부담합니까?

물론 잠재적으로 손상될 수 있는 모든 ID를 교체해야 하는 경우 문제가 되는 것은 다음과 같습니다. “누가 지불할 것인가?”

호주 총리 Anthony Albanese에 따르면 여권을 교체하는 데 필요한 자금이 어디에서 나와야 하는지 의심의 여지가 없습니다.

오늘 오후 @albomp 의회에 Optus 보안 침해에 대한 중요한 업데이트를 제공했습니다.

우리는 침해의 영향을 받는 사람들을 위해 여권 교체 비용을 Optus에 요구할 뿐만 아니라 개인 정보 보호법 검토를 통해 개인 정보 보호법을 강화하기 위해 노력하고 있습니다. pic.twitter.com/JyoRJxyM3p

— 클레어 오닐 MP(@ClareONeilMP) 2022 년 9 월 28 일

연방 입법부에서는 운전 면허증 교체에 대해 언급하지 않았으며, 이는 주 및 준주 정부에서 처리하는 문제입니다...

… 그리고 신분증과 관련된 위반이 보고될 때마다 "모든 문서 교체"가 일상적인 반응이 될지 여부에 대한 언급은 없습니다. 면허증과 여권은 일반적으로 각각 10년 동안 지속되어야 한다는 점을 감안할 때 공공 서비스를 쉽게 압도할 수 있습니다.

이 공간을 주목하세요 – 흥미로워질 것 같습니다!

---