Den australske telekommunikasjonsgiganten Optus skal ha fått hjelp fra FBI til å undersøke det som ser ut til å ha vært et lett forebyggbart brudd som endte opp med å avsløre sensitive data på nesten 10 millioner kunder.
I mellomtiden trakk den tilsynelatende hackeren eller hackerne bak bruddet på tirsdag kravet om løsepenger på 1 million dollar sammen med en trussel om å frigi partier av stjålne data til løsepengene ble betalt. Trusselaktøren hevdet også at han eller hun slettet all data som ble stjålet fra Optus. Den tilsynelatende endringen i hjertet kom imidlertid etter at angriperen allerede tidligere hadde gitt ut en prøve på rundt 10,200 XNUMX kundeposter, tilsynelatende som bevis på hensikt.
Andre tanker
Angriperens årsak til å trekke tilbake kravet om løsepenger og trusselen om datalekkasje er fortsatt uklar. Men i en uttalelse lagt ut på et Dark Web-forum — og publisert på nytt på databreaches.net - den påståtte angriperen hentydet til "for mange øyne" som så dataene som én årsak. "Vi vil ikke selge data til noen," stod det i notatet. "Vi kan ikke hvis vi en gang vil: personlig slettet data fra stasjonen (bare kopier)."
Angriperen ba også om unnskyldning overfor Optus og til de 10,200 10,200 kundene hvis data ble lekket: «Australia vil ikke se noen gevinst i svindel, dette kan overvåkes. Kanskje for XNUMX XNUMX australske men resten av befolkningen nei. Veldig synd på deg."
Unnskyldningen og angriperens påstander om å slette de stjålne dataene vil neppe dempe bekymringene rundt angrepet, som har blitt beskrevet som Australias største brudd noensinne.
Optus først avslørte bruddet 21. september, og har i en serie oppdateringer siden da beskrevet det som å påvirke nåværende og tidligere kunder til selskapets bredbånds-, mobil- og bedriftskunder fra 2017 og fremover. Ifølge selskapet kan bruddet potensielt ha avslørt kundenavn, fødselsdato, telefonnumre, e-postadresser og - for en undergruppe av kunder - deres fullstendige adresser, førerkortinformasjon eller passnumre.
Optus sikkerhetspraksis under mikroskopet
Bruddet har vekket bekymringer for utbredt identitetssvindel og presset Optus til – blant andre tiltak – å jobbe med forskjellige australske delstatsregjeringer for å diskutere potensialet for å endre førerkortdetaljer for berørte personer på selskapets bekostning. «Når vi tar kontakt, krediterer vi kontoen din for å dekke eventuelle relevante erstatningskostnader. Vi gjør dette automatisk, så du trenger ikke å kontakte oss,” informerte Optus kundene. "Hvis du ikke hører fra oss, betyr det at førerkortet ditt ikke trenger å endres."
Datakompromisset har satt Optus sikkerhetspraksis direkte i søkelyset, spesielt fordi det ser ut til å være et resultat av en grunnleggende feil. Australian Broadcasting Corporation (ABC) 22. september siterte en uidentifisert "seniorfigur” inne i Optus som sa at angriperen i utgangspunktet var i stand til å få tilgang til databasen via et uautentisert applikasjonsprogrammeringsgrensesnitt (API).
Innsideren skal ha fortalt ABC at den levende kundeidentitetsdatabasen angriperen fikk tilgang til var koblet til Internett via et ubeskyttet API. Forutsetningen var at bare autoriserte Optus-systemer ville bruke API. Men det endte på en eller annen måte opp med å bli utsatt for et testnettverk, som tilfeldigvis var direkte koblet til Internett, siterte ABC på innsiden.
ABC og andre medier beskrev Optus-sjef Kelly Bayer Rosmarin som insisterte på at selskapet var offer for et sofistikert angrep og at dataene angriperen hevdet å ha tilgang til var kryptert.
Hvis rapporten om den eksponerte API-en er sann, ble Optus offer for en sikkerhetsfeil som mange andre gjør. "Bruket brukerautentisering er en av de vanligste API-sårbarhetene," sier Adam Fisher, løsningsarkitekt hos Salt Security. "Angripere ser etter dem først fordi uautentiserte API-er ikke krever noen innsats for å bryte."
Åpne eller uautentiserte APIer er ofte et resultat av at infrastrukturteamet, eller teamet som administrerer autentisering, feilkonfigurerer noe, sier han. "Fordi det krever mer enn ett team for å kjøre en applikasjon, oppstår det ofte feilkommunikasjon," sier Fisher. Han bemerker at uautentiserte API-er opptar andreplassen på OWASPs liste over de 10 beste API-sikkerhetssårbarhetene.
En rapport bestilt av Imperva tidligere i år identifiserte amerikanske virksomheter som påløper mellom $12 milliarder og $23 milliarder i tap fra API-tilknyttede kompromisser bare i 2022. En annen undersøkelsesbasert studie som Cloudentity utførte i fjor fant 44 % av respondentene sa at organisasjonen deres hadde opplevd datalekkasje og andre problemer som stammer fra API-sikkerhet bortfaller.
"Skremt" angriper?
FBI svarte ikke umiddelbart på en Dark Reading-forespørsel om kommentar via det nasjonale pressekontorets e-postadresse, men Guardian
og andre rapporterte at det amerikanske rettshåndhevelsesbyrået ble kalt inn for å bistå med etterforskningen. De Australsk føderal politi, som etterforsker Optus-bruddet, sa at de samarbeider med utenlandsk rettshåndhevelse for å spore opp personen eller gruppen som er ansvarlig for det.
Casey Ellis, grunnlegger og CTO for bug-bounty-firmaet Bugcrowd, sier at den intense granskningen bruddet har mottatt fra den australske regjeringen, offentligheten og rettshåndhevelsen kan ha skremt angriperen. "Det er ganske sjelden at denne typen interaksjon er så spektakulær som denne har vært," sier han. "Å kompromittere nesten halvparten av befolkningen i et land kommer til å få mye veldig intens og veldig kraftig oppmerksomhet, og angriperne som er involvert her undervurderte dette klart."
Svaret deres antyder at trusselaktørene er veldig unge og sannsynligvis svært nye i kriminell oppførsel, i det minste av denne skalaen, bemerker han.
"Det er klart at den australske regjeringen har tatt dette bruddet veldig alvorlig og går glupsk etter angriperen," legger Fisher til. "Denne sterke responsen kan ha tatt angriperen på vakt," og sannsynligvis fått andre tanker. "Men dessverre er dataene allerede ute i det åpne. Når et selskap finner seg selv i nyhetene som dette, tar hver hacker oppmerksomhet.»
