De cyberinbraak van vorige week bij de Australische telco Optus, die ongeveer 10 miljoen klanten heeft, heeft de woede van de regering van het land gewekt over hoe het gehackte bedrijf moet omgaan met gestolen ID-gegevens.
dark web screenshots snel na de aanval opgedoken, met een ondergrondse InbreukForums gebruiker gaat door de duidelijke naam van optusdata het aanbieden van twee tranches van gegevens, bewerend dat ze twee databases als volgt hadden:
11,200,000 gebruikersrecords met naam, geboortedatum, mobiel nummer en ID 4,232,652 records inclusief een soort ID-documentnummer 3,664,598 van de ID's waren afkomstig van rijbewijzen 10,000,000 adresrecords met e-mail, geboortedatum, ID en meer 3,817,197 hadden ID-documentnummers 3,238,014 van de identiteitsbewijzen waren afkomstig van rijbewijzen
De verkoper schreef “Optus als je aan het lezen bent! Prijs voor ons om [sic] gegevens niet te verkopen is 1,000,000 $US! We geven je 1 week om te beslissen.”
Gewone kopers, zei de verkoper, zouden de databases voor $ 300,000 als werkkavel kunnen hebben, als Optus niet binnen een week inging op het aanbod van $ 1 miljoen voor "exclusieve toegang".
De verkoper zei dat ze betaling verwachtten in de vorm van Monero, een populaire cryptocurrency die moeilijker te traceren is dan Bitcoin.
Monero-transacties zijn: samengemengd als onderdeel van het betalingsprotocol, waardoor het Monero-ecosysteem op zichzelf een soort cryptocoin-tuimelaar of anonimiseringsmiddel wordt.
Wat is er gebeurd?
Het datalek zelf was blijkbaar te wijten aan het ontbreken van beveiliging op wat in het jargon bekend staat als een... API-eindpunt. (API is een afkorting voor applicatie programmeerinterface, een vooraf gedefinieerde manier voor het ene deel van een app, of verzameling van apps, om een soort dienst aan te vragen, of om gegevens op te halen, van een ander.)
Op internet nemen API-eindpunten normaal gesproken de vorm aan van speciale URL's die specifiek gedrag triggeren of gevraagde gegevens retourneren, in plaats van simpelweg een webpagina weer te geven.
Bijvoorbeeld een URL als https://www.example.com/about kan eenvoudigweg een statische webpagina terugkoppelen in HTML-vorm, zoals:
About this site
This site is just an example, as the URL implies.
Het bezoeken van de URL met een browser zou daarom resulteren in een webpagina die eruitziet zoals je zou verwachten:
Maar een URL zoals https://api.example.com/userdata?id=23de6731e9a7 kan een databaserecord teruggeven dat specifiek is voor de opgegeven gebruiker, alsof u een functieaanroep in een C-programma hebt gedaan in de trant van:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
Ervan uitgaande dat de gevraagde gebruikers-ID in de database aanwezig was, kan het aanroepen van de equivalente functie via een HTTP-verzoek naar het eindpunt een antwoord in JSON-indeling opleveren, zoals dit:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
In een dergelijke API zou je waarschijnlijk verwachten dat er verschillende cyberbeveiligingsmaatregelen zijn getroffen, zoals:
- Authenticatie. Elk webverzoek moet mogelijk een HTTP-header bevatten die een willekeurige (niet te raden) sessiecookie aangeeft die is uitgegeven aan een gebruiker die onlangs zijn identiteit heeft bewezen, bijvoorbeeld met een gebruikersnaam, wachtwoord en 2FA-code. Dit soort sessiecookie, dat doorgaans slechts een beperkte tijd geldig is, fungeert als een tijdelijke toegangspas voor opzoekverzoeken die vervolgens worden uitgevoerd door de vooraf geverifieerde gebruiker. API-verzoeken van niet-geverifieerde of onbekende gebruikers kunnen daarom direct worden afgewezen.
- Toegangsrestricties. Voor database-zoekopdrachten die persoonlijk identificeerbare gegevens (PII) kunnen ophalen, zoals ID-nummers, thuisadressen of betaalkaartgegevens, kan de server die API-eindpuntverzoeken accepteert, bescherming op netwerkniveau opleggen om verzoeken die rechtstreeks van internet komen uit te filteren. Een aanvaller zou daarom eerst een interne server moeten compromitteren en zou niet rechtstreeks via internet naar gegevens kunnen zoeken.
- Moeilijk te raden database-ID's. Hoewel beveiliging door onduidelijkheid (ook bekend als "ze zullen dat nooit raden") een slechte onderliggende basis is voor cyberbeveiliging, het heeft geen zin om dingen gemakkelijker te maken dan nodig is voor de boeven. Als uw eigen gebruikers-ID is
00000145, en je weet dat een vriend die zich aanmeldde net nadat jij...00000148, dan is het een goede gok dat geldige gebruikers-ID-waarden beginnen bij00000001en ga vanaf daar omhoog. Willekeurig gegenereerde waarden maken het moeilijker voor aanvallers die al een maas in uw toegangscontrole hebben gevonden om een lus uit te voeren die steeds opnieuw probeert waarschijnlijke gebruikers-ID's op te halen. - Tarief beperkend. Elke zich herhalende reeks van soortgelijke verzoeken kan worden gebruikt als een potentiële IoC, of indicator van compromis. Cybercriminelen die 11,000,000 database-items willen downloaden, gebruiken over het algemeen niet een enkele computer met een enkel IP-nummer om het hele werk te doen, dus aanvallen op bulkdownloads zijn niet altijd meteen duidelijk, alleen door traditionele netwerkstromen. Maar ze zullen vaak patronen en activiteitspercentages genereren die gewoon niet overeenkomen met wat je in het echte leven zou verwachten.
Blijkbaar waren er weinig of geen van deze beveiligingen aanwezig tijdens de Optus-aanval, met name de eerste ...
... wat betekent dat de aanvaller toegang had tot PII zonder zich ooit te hoeven identificeren, laat staan om de inlogcode of authenticatiecookie van een legitieme gebruiker te stelen om binnen te komen.
Op de een of andere manier lijkt het erop dat een API-eindpunt met toegang tot gevoelige gegevens werd opengesteld voor internet in het algemeen, waar het werd ontdekt door een cybercrimineel en misbruikt om informatie te extraheren die achter een soort cyberbeveiligingspoort had moeten zitten.
Als we moeten geloven dat de aanvaller in totaal meer dan 20,000,000 databaserecords heeft opgehaald uit twee databases, gaan we ervan uit [a] dat Optus userid codes konden gemakkelijk worden berekend of geraden, en [b] dat er geen "databasetoegang ongebruikelijke niveaus heeft bereikt"-waarschuwingen gingen af.
Helaas is Optus niet erg duidelijk geweest over hoe de aanval ontvouwd, alleen zeggende:
V. Hoe is dit gebeurd?
A. Optus is het slachtoffer geworden van een cyberaanval. […]
V. Is de aanval gestopt?
A. Ja. Toen hij dit ontdekte, stopte Optus de aanval onmiddellijk.
Met andere woorden, het lijkt erop dat het "afsluiten van de aanval" inhield dat de maas in de wet werd gesloten tegen verdere inbraak (bijvoorbeeld door de toegang tot het niet-geverifieerde API-eindpunt te blokkeren) in plaats van de eerste aanval vroeg te onderscheppen nadat slechts een beperkt aantal records was gestolen .
We vermoeden dat als Optus de aanval had ontdekt terwijl deze nog aan de gang was, het bedrijf in zijn FAQ zou hebben vermeld hoe ver de oplichters waren gekomen voordat hun toegang werd afgesloten.
Wat nu?
Hoe zit het met klanten van wie het paspoort- of rijbewijsnummer is geopenbaard?
Hoeveel risico vormt het lekken van een ID-documentnummer, in plaats van meer volledige details van het document zelf (zoals een scan met hoge resolutie of een gewaarmerkte kopie), voor het slachtoffer van een datalek als dit?
Hoeveel identificatiewaarde moeten we alleen al aan ID-nummers geven, gegeven hoe wijdverbreid en vaak we ze tegenwoordig delen?
Volgens de Australische regering is het risico groot genoeg dat slachtoffers van de inbreuk wordt geadviseerd de betrokken documenten te vervangen.
En met mogelijk miljoenen getroffen gebruikers, zouden de kosten voor het vernieuwen van documenten alleen al kunnen oplopen tot honderden miljoenen dollars, en de annulering en heruitgifte van een aanzienlijk deel van de rijbewijzen in het land noodzakelijk maken.
We schatten dat ongeveer 16 miljoen Aussies een rijbewijs hebben en geneigd zijn deze als identiteitsbewijs in Australië te gebruiken in plaats van hun paspoort bij zich te hebben. Dus, als de optusdata De poster van BreachForum sprak de waarheid en er werden bijna 4 miljoen licentienummers gestolen, bijna 25% van alle Australische licenties moet mogelijk worden vervangen. We weten niet hoe nuttig dit kan zijn in het geval van Australische rijbewijzen, die worden afgegeven door individuele staten en territoria. In het VK bijvoorbeeld, wordt uw rijbewijsnummer duidelijk algoritmisch afgeleid van uw naam en geboortedatum, met een zeer bescheiden hoeveelheid schuifelen en slechts een paar willekeurige tekens ingevoegd. Een nieuwe licentie krijgt dus een nieuw nummer dat erg lijkt op de vorige.
Degenen zonder licentie, of bezoekers die simkaarten van Optus hadden gekocht op basis van een buitenlands paspoort, zouden in plaats daarvan hun paspoort moeten vervangen - een Australische paspoortvervanging kost bijna AU $ 193, een Brits paspoort kost £ 75 tot £ 85, en een Amerikaanse verlenging is $ 130 tot $ 160.
(Er is ook de kwestie van wachttijden: Australië adviseert momenteel dat het vervangen van het paspoort ten minste 6 weken zal duren [2022-09-28T13:50Z], en dat is zonder een plotselinge stijging veroorzaakt door inbreukgerelateerde verwerking; in het VK vanwege bestaande achterstanden, zegt de regering van Zijne Majesteit momenteel aanvragers om 10 weken te wachten voor paspoortvernieuwing.)
Wie draagt de kosten?
Als het vervangen van alle potentieel aangetaste ID's noodzakelijk wordt geacht, is de brandende vraag natuurlijk: “Wie gaat betalen?”
Volgens de Australische premier, Anthony Albanese, bestaat er geen twijfel over waar het geld om paspoorten te vervangen vandaan moet komen:
Deze middag @albomp gaf het parlement een belangrijke update over de inbreuk op de beveiliging van Optus.
We eisen niet alleen dat Optus betaalt voor vervangende paspoorten voor degenen die door de inbreuk zijn getroffen, maar we zijn ook toegewijd aan het versterken van onze privacywetten door middel van de herziening van de Privacywet. pic.twitter.com/JyoRJxyM3p
— Clare O'Neil MP (@ClareONeilMP) 28 september 2022
Er is geen woord van de federale wetgever over het vervangen van rijbewijzen, dat een zaak is die wordt afgehandeld door de staats- en territoriumregeringen ...
... en geen woord over de vraag of "alle documenten vervangen" een routinereactie zal worden wanneer een inbreuk met betrekking tot een identiteitsbewijs wordt gemeld, iets dat de openbare dienst gemakkelijk zou kunnen overspoelen, aangezien licenties en paspoorten naar verwachting elk 10 jaar meegaan.
Bekijk deze ruimte - dit lijkt interessant te worden!
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- datalek
- Data Loss
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- Optus
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- privacy
- VPN
- website veiligheid
- zephyrnet
![S3 Ep91: CodeRed, OpenSSL, Java-bugs en Office-macro's [Podcast + Transcript] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/nsp-1200-300x157.png "S3 Ep91: CodeRed, OpenSSL, Java-bugs en Office-macro's [Podcast + Transcript]")
![S3 Aflevering 126: De prijs van fast fashion (en feature creep) [Audio + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Aflevering 126: De prijs van fast fashion (en feature creep) [Audio + tekst]")