Optus-brudd - Aussie telco fortalte at det vil måtte betale for å erstatte ID-er PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.

Optus-brudd - Aussie telco fortalte at det vil måtte betale for å erstatte ID-er

Tidsstempel: 28. september 2022 9

by
Paul Ducklin

Forrige ukes nettinnbrudd hos det australske teleselskapet Optus, som har rundt 10 millioner kunder, har vakt irritasjon hos landets regjering over hvordan det overtrådte selskapet skal håndtere stjålne ID-detaljer.

Darkweb skjermbilder dukket raskt opp etter angrepet, med en undergrunn BreachForums bruker som går under det enkle navnet optusdata tilbyr to transjer med data, med påstand om at de hadde to databaser som følger:

  11,200,000 brukerregistreringer med navn, fødselsdato, mobilnummer og ID 4,232,652 poster inkluderte en slags ID-dokumentnummer 3,664,598 av ID-ene var fra førerkort 10,000,000 adresseposter med e-post, fødselsdato, ID-nummer og mer 3,817,197 hadde ID-nummer 3,238,014 av ID-ene var fra førerkort

Selger skrev: «Optus hvis du leser! Prisen for ikke å selge [sic] data er 1,000,000 1 XNUMX$US! Vi gir deg XNUMX uke til å bestemme deg."

Vanlige kjøpere, sa selgeren, kunne ha databasene for $300,000 1 som jobblott, hvis Optus ikke tok opp sitt "eksklusive tilgang"-tilbud på $XNUMX million innen uken.

Selgeren sa at de forventet betaling i form av Monero, en populær kryptovaluta som er vanskeligere å spore enn Bitcoin.

Monero-transaksjoner er blandet sammen som en del av betalingsprotokollen, noe som gjør Monero-økosystemet til en slags kryptomyntbeholder eller anonymisator i seg selv.

Hva har skjedd?

Selve datainnbruddet skyldtes tilsynelatende manglende sikkerhet på det som i sjargongen er kjent som en API-sluttpunkt. (API er en forkortelse for Applikasjonsprogrammeringsgrensesnitt, en forhåndsdefinert måte for en del av en app, eller samling av apper, å be om en slags tjeneste eller hente data fra en annen.)

På nettet har API-endepunkter vanligvis form av spesielle URL-er som utløser spesifikk atferd, eller returnerer forespurte data, i stedet for bare å tjene en nettside.

For eksempel en URL som https://www.example.com/about kan ganske enkelt sende tilbake en statisk nettside i HTML-form, for eksempel:

  
    
       
About this site

       
This site is just an example, as the URL implies.

Å besøke URL-en med en nettleser vil derfor resultere i en nettside som ser ut som du forventer:

Men en URL som f.eks https://api.example.com/userdata?id=23de­6731­e9a7 kan returnere en databaseoppføring som er spesifikk for den angitte brukeren, som om du hadde gjort et funksjonskall i et C-program på linje med:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Forutsatt at den forespurte bruker-ID-en fantes i databasen, kan det å kalle den tilsvarende funksjonen via en HTTP-forespørsel til endepunktet gi et svar i JSON-format, slik: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

I et API av denne typen vil du sannsynligvis forvente at flere forholdsregler for cybersikkerhet er på plass, for eksempel:

  • Godkjenning. Hver nettforespørsel kan trenge å inkludere en HTTP-header som spesifiserer en tilfeldig (uutsettlig) øktinformasjonskapsel utstedt til en bruker som nylig hadde bevist identiteten sin, for eksempel med et brukernavn, passord og 2FA-kode. Denne typen øktinformasjonskapsel, som vanligvis bare er gyldig i en begrenset periode, fungerer som et midlertidig tilgangspass for oppslagsforespørsler som senere utføres av den forhåndsautentiserte brukeren. API-forespørsler fra uautentiserte eller ukjente brukere kan derfor umiddelbart avvises.
  • Tilgangsbegrensninger. For databaseoppslag som kan hente personlig identifiserbare data (PII) som ID-numre, hjemmeadresser eller betalingskortdetaljer, kan serveren som aksepterer API-endepunktforespørsler pålegge nettverksnivåbeskyttelse for å filtrere ut forespørsler som kommer direkte fra internett. En angriper må derfor først kompromittere en intern server, og vil ikke kunne søke etter data direkte over internett.
  • Vanskelig å gjette databaseidentifikatorer. Selv sikkerhet gjennom uklarhet (også kjent som "de vil aldri gjette det") er et dårlig underliggende grunnlag for cybersikkerhet, det er ingen vits i å gjøre ting enklere enn du må for skurkene. Hvis din egen bruker-id er 00000145, og du vet at en venn som registrerte seg like etter at du fikk 00000148, da er det en god gjetning at gyldige bruker-id-verdier starter på 00000001 og gå opp derfra. Tilfeldig genererte verdier gjør det vanskeligere for angripere som allerede har funnet et smutthull i tilgangskontrollen din, å kjøre en sløyfe som om og om igjen prøver å hente sannsynlige bruker-ID.
  • Satsbegrensende. Enhver repeterende sekvens av lignende forespørsler kan brukes som en potensiell IoC, eller indikator på kompromiss. Nettkriminelle som ønsker å laste ned 11,000,000 XNUMX XNUMX databaseelementer, bruker vanligvis ikke en enkelt datamaskin med ett enkelt IP-nummer for å gjøre hele jobben, så massenedlastingsangrep er ikke alltid umiddelbart åpenbare bare fra tradisjonelle nettverksflyter. Men de vil ofte generere mønstre og aktivitetshastigheter som rett og slett ikke stemmer overens med det du forventer å se i det virkelige liv.

Tilsynelatende var få eller ingen av disse beskyttelsene på plass under Optus-angrepet, spesielt inkludert den første ...

…som betyr at angriperen var i stand til å få tilgang til PII uten å måtte identifisere seg i det hele tatt, enn si for å stjele en legitim brukers påloggingskode eller autentiseringsinformasjonskapsel for å komme inn.

På en eller annen måte, ser det ut til, ble et API-endepunkt med tilgang til sensitive data åpnet for internett for øvrig, hvor det ble oppdaget av en nettkriminell og misbrukt for å trekke ut informasjon som skulle ha stått bak en slags nettsikkerhetsport.

Dessuten, hvis angriperens påstand om å ha hentet totalt mer enn 20,000,000 XNUMX XNUMX databaseposter fra to databaser er å tro, antar vi [a] at Optus userid koder ble lett beregnet eller gjettet, og [b] at ingen "databasetilgang har truffet uvanlige nivåer"-advarsler gikk av.

Dessverre har ikke Optus vært veldig tydelig på hvordan angrepet utspilte seg, sier bare:

Q. Hvordan skjedde dette?

A. Optus ble offer for et nettangrep. […]

Q. Har angrepet blitt stoppet?

A. Ja. Etter å ha oppdaget dette, stengte Optus umiddelbart angrepet.

Med andre ord, det ser ut som om å "slå av angrepet" innebar å lukke smutthullet mot ytterligere inntrenging (f.eks. ved å blokkere tilgang til det uautentiserte API-endepunktet) i stedet for å avskjære det første angrepet tidlig etter at bare et begrenset antall poster hadde blitt stjålet .

Vi mistenker at hvis Optus hadde oppdaget angrepet mens det fortsatt var i gang, ville selskapet ha oppgitt i FAQ hvor langt skurkene hadde kommet før tilgangen deres ble stengt.

Hva nå?

Hva med kunder hvis pass- eller førerkortnummer ble avslørt?

Hvor stor risiko utgjør lekkasje av et ID-dokumentnummer, i stedet for mer fullstendige detaljer om selve dokumentet (som en høyoppløselig skanning eller sertifisert kopi), for offeret for et datainnbrudd som dette?

Hvor mye identifikasjonsverdi bør vi gi til ID-numre alene, gitt hvor mye og ofte vi deler dem i disse dager?

Ifølge den australske regjeringen er risikoen betydelig nok til at ofre for bruddet blir bedt om å erstatte berørte dokumenter.

Og med muligens millioner av berørte brukere, kan kostnadene for dokumentfornyelse alene løpe til hundrevis av millioner av dollar, og nødvendiggjøre kansellering og ny utstedelse av en betydelig andel av landets førerkort.

Vi anslår at rundt 16 millioner austere har lisenser, og er tilbøyelige til å bruke dem som ID i Australia i stedet for å bære rundt passene deres. Så hvis optusdata BreachForum-plakaten fortalte sannheten, og nærmere 4 millioner lisensnumre ble stjålet, nesten 25 % av alle australske lisenser må kanskje erstattes. Vi vet ikke hvor nyttig dette faktisk kan være når det gjelder australske førerkort, som er utstedt av individuelle stater og territorier. I Storbritannia, for eksempel, er førerkortnummeret ditt ganske åpenbart utledet algoritmisk fra navnet ditt og fødselsdatoen, med en svært beskjeden mengde stokking og bare noen få tilfeldige tegn satt inn. En ny lisens får derfor et nytt nummer som er veldig likt det forrige.

De uten lisenser, eller besøkende som hadde kjøpt SIM-kort fra Optus på grunnlag av et utenlandsk pass, ville måtte erstatte passene sine i stedet – et australsk pass koster nærmere AU$193, et britisk pass er £75 til £85, og en amerikansk fornyelse er $130 til $160.

(Det er også spørsmålet om ventetider: Australia anbefaler for øyeblikket at erstatningspass vil ta minst 6 uker [2022-09-28T13:50Z], og det er uten en plutselig økning forårsaket av bruddrelatert behandling; i Storbritannia, pga. eksisterende etterslep, ber Hans Majestets regjering for øyeblikket søkere om å tillate 10 uker for passfornyelse.)

Hvem bærer kostnadene?

Selvfølgelig, hvis det anses nødvendig å erstatte alle potensielt kompromitterte IDer, er det brennende spørsmålet: "Hvem skal betale?"

Ifølge den australske statsministeren, Anthony Albanese, er det ingen tvil om hvor pengene til å erstatte pass skal komme fra:

Det er ingen ord fra den føderale lovgiveren om å erstatte førerkort, som er en sak som håndteres av statlige og territorielle myndigheter ...

...og ingen ord om hvorvidt "erstatt alle dokumenter" vil bli en rutinemessig reaksjon hver gang et brudd som involverer ID-dokumenter blir rapportert, noe som lett kan oversvømme den offentlige tjenesten, gitt at lisenser og pass vanligvis forventes å vare i 10 år hver.

Se denne plassen – dette ser ut til å bli interessant!

Tidstempel:

Mer fra Naken sikkerhet