De Australische telecommunicatiegigant Optus krijgt naar verluidt hulp van de FBI bij het onderzoeken van wat een gemakkelijk te voorkomen lek lijkt te zijn geweest, waardoor gevoelige gegevens van bijna 10 miljoen klanten openbaar zijn geworden.
Ondertussen hebben de schijnbare hacker of hackers achter de inbreuk dinsdag hun eis voor een losgeld van $ 1 miljoen ingetrokken, samen met een dreigement om batches van de gestolen gegevens vrij te geven totdat het losgeld was betaald. De bedreigingsacteur beweerde ook dat hij of zij alle gegevens had verwijderd die van Optus waren gestolen. De schijnbare verandering van gedachten kwam echter nadat de aanvaller al eerder een steekproef van zo'n 10,200 klantgegevens had vrijgegeven, schijnbaar als bewijs van intentie.
tweede gedachten
De reden van de aanvaller voor het intrekken van de eis om losgeld en de dreiging van een datalek blijven onduidelijk. Maar in een verklaring op een Dark Web-forum: en opnieuw gepost op databreaches.net – de vermeende aanvaller zinspeelde op ‘te veel ogen’ die de gegevens als één reden zagen. ‘We zullen aan niemand gegevens verkopen’, luidde het briefje. "Dat kunnen we niet als we dat zelfs maar willen: persoonlijk gegevens van schijf verwijderd (alleen kopiëren)."
De aanvaller bood ook zijn excuses aan aan Optus en aan de 10,200 klanten van wie de gegevens waren gelekt: “Australië zal geen winst zien in fraude, dit kan worden gemonitord. Misschien voor 10,200 Australiërs, maar de rest van de bevolking niet. Het spijt me heel erg voor je.”
Het is onwaarschijnlijk dat de verontschuldigingen en de beweringen van de aanvaller over het verwijderen van de gestolen gegevens de zorgen rond de aanval wegnemen, die wordt beschreven als de grootste inbreuk ooit in Australië.
Optus maakte de inbreuk voor het eerst bekend op 21 september, en in een reeks updates sindsdien wordt beschreven dat dit vanaf 2017 gevolgen heeft voor huidige en eerdere klanten van de breedband-, mobiele en zakelijke klanten van het bedrijf. Volgens het bedrijf heeft de inbreuk mogelijk de namen van klanten, geboortedata, telefoonnummers, e-mailadressen en – voor een deel van de klanten – hun volledige adressen, rijbewijsgegevens of paspoortnummers blootgelegd.
Optus-beveiligingspraktijken onder de microscoop
De inbreuk heeft de bezorgdheid over wijdverbreide identiteitsfraude aangewakkerd en Optus ertoe aangezet om – naast andere maatregelen – samen te werken met verschillende Australische deelstaatregeringen om de mogelijkheid te bespreken om de rijbewijsgegevens van getroffen personen te wijzigen op kosten van het bedrijf. “Als we contact met u opnemen, plaatsen we een tegoed op uw account om eventuele vervangingskosten te dekken. We doen dit automatisch, zodat u geen contact met ons hoeft op te nemen”, liet Optus klanten weten. “Als u niets van ons hoort, betekent dit dat uw rijbewijs niet gewijzigd hoeft te worden.”
Het datacompromis heeft de beveiligingspraktijken van Optus volledig in de schijnwerpers gezet, vooral omdat deze het gevolg lijken te zijn van een fundamentele fout. De Australian Broadcasting Corporation (ABC) op 22 september citeerde een niet-geïdentificeerde ‘senior figuur' binnen Optus zei dat de aanvaller in principe toegang had tot de database via een niet-geverifieerde application programming interface (API).
De insider zou ABC hebben verteld dat de live klantenidentiteitsdatabase waartoe de aanvaller toegang had, via een onbeschermde API met internet was verbonden. De veronderstelling was dat alleen geautoriseerde Optus-systemen de API zouden gebruiken. Maar op de een of andere manier werd het blootgesteld aan een testnetwerk dat toevallig rechtstreeks met internet was verbonden, citeerde ABC de insider.
ABC en andere media beschreven dat Kelly Bayer Rosmarin, CEO van Optus, volhield dat het bedrijf het slachtoffer was van een geavanceerde aanval en dat de gegevens waartoe de aanvaller beweerde toegang te hebben gekregen, gecodeerd waren.
Als het rapport over de blootgestelde API waar is, was Optus het slachtoffer van een beveiligingsfout die vele anderen maken. “Verbroken gebruikersauthenticatie is een van de meest voorkomende API-kwetsbaarheden”, zegt Adam Fisher, oplossingsarchitect bij Salt Security. “Aanvallers zoeken ze eerst omdat het geen enkele moeite kost om ongeauthenticeerde API’s te doorbreken.”
Open of niet-geverifieerde API's zijn vaak het gevolg van het feit dat het infrastructuurteam, of het team dat de authenticatie beheert, iets verkeerd configureert, zegt hij. “Omdat er meer dan één team nodig is om een applicatie te draaien, ontstaat er vaak miscommunicatie”, zegt Fisher. Hij merkt op dat niet-geverifieerde API's de tweede plek innemen in OWASP's lijst van de top 10 API-beveiligingskwetsbaarheden.
Een rapport in opdracht van Imperva eerder dit jaar identificeerde Amerikaanse bedrijven als bedrijven die tussen de twee bedrijven actief zijn $12 miljard en $23 miljard aan verliezen als gevolg van API-gerelateerde compromissen alleen in 2022. Een ander op enquêtes gebaseerd onderzoek dat Cloudentity vorig jaar uitvoerde, vond 44% van de respondenten zegt dat hun organisatie te maken heeft gehad met datalekken en andere problemen die voortvloeien uit tekortkomingen in de API-beveiliging.
“Geschrokken” aanvaller?
De FBI reageerde niet onmiddellijk op een verzoek van Dark Reading om commentaar via het e-mailadres van het nationale persbureau, maar de Voogd
en anderen meldden dat de Amerikaanse wetshandhavingsinstantie was ingeschakeld om te helpen bij het onderzoek. De Australische federale politie, dat de inbreuk op de Optus onderzoekt, zei dat het samenwerkte met de buitenlandse wetshandhavingsinstanties om de persoon of groep op te sporen die daarvoor verantwoordelijk is.
Casey Ellis, oprichter en CTO van bugbounty-bedrijf Bugcrowd, zegt dat de intensieve aandacht die de inbreuk heeft gekregen van de Australische overheid, het publiek en de wetshandhavingsinstanties de aanvaller mogelijk heeft doen schrikken. “Het komt zelden voor dat dit soort interactie zo spectaculair is als deze”, zegt hij. “Het in gevaar brengen van bijna de helft van de bevolking van een land zal veel zeer intense en zeer krachtige aandacht opleveren, en de hier betrokken aanvallers hebben dit duidelijk onderschat.”
Hun reactie suggereert dat de dreigingsactoren erg jong zijn en waarschijnlijk nog maar net bekend zijn met crimineel gedrag, althans van deze omvang, merkt hij op.
“Het is duidelijk dat de Australische regering deze inbreuk zeer serieus heeft genomen en de aanvaller vraatzuchtig achtervolgt”, voegt Fisher toe. “Deze krachtige reactie heeft de aanvaller misschien overrompeld”, en heeft waarschijnlijk aanleiding gegeven tot twijfels. “Helaas zijn de gegevens echter al openbaar. Als een bedrijf eenmaal zo in het nieuws komt, let iedere hacker op.”
