Według doniesień australijski gigant telekomunikacyjny Optus otrzymuje pomoc od FBI w dochodzeniu, które wydaje się być łatwym do uniknięcia naruszeniem, w wyniku którego ujawniono wrażliwe dane prawie 10 milionów klientów.
Tymczasem rzekomy haker lub hakerzy stojący za włamaniem we wtorek wycofali swoje żądanie okupu w wysokości 1 miliona dolarów wraz z groźbą udostępnienia partii skradzionych danych do czasu zapłacenia okupu. Osoba atakująca twierdziła również, że usunęła wszystkie dane skradzione Optusowi. Widoczna zmiana zdania nastąpiła jednak po tym, jak atakujący już wcześniej opublikował próbkę około 10,200 XNUMX rekordów klientów, najwyraźniej jako dowód swoich zamiarów.
Namysł
Powód wycofania żądania okupu przez osobę atakującą oraz zagrożenie wyciekiem danych pozostają niejasne. Ale w oświadczeniu opublikowanym na forum Dark Web — i opublikowano ponownie na databreaches.net — rzekomy napastnik nawiązał do tego, że „zbyt wiele oczu” postrzegało dane jako jeden z powodów. „Nie będziemy nikomu sprzedawać danych” – czytamy w notatce. „Nie możemy, jeśli w ogóle chcemy: osobiście usunąć dane z dysku (tylko skopiować).”
Osoba atakująca przeprosiła także firmę Optus i 10,200 10,200 klientów, których dane wyciekły: „Australia nie odniesie żadnych korzyści z oszustw, można to monitorować. Może dla XNUMX XNUMX Australijczyków, ale reszta populacji nie. Bardzo cię przepraszam.
Jest mało prawdopodobne, aby przeprosiny i twierdzenia atakującego o usunięciu skradzionych danych rozwiały obawy związane z atakiem, który został opisany jako największe w historii Australii naruszenie bezpieczeństwa.
Optus po raz pierwszy ujawnił naruszenie 21 wrześniai od tego czasu w serii aktualizacji opisał to jako mające wpływ na obecnych i poprzednich klientów firmy z branży usług szerokopasmowych, mobilnych i biznesowych, począwszy od 2017 r. Według firmy naruszenie mogło potencjalnie ujawnić nazwiska klientów, daty urodzenia, numery telefonów, adresy e-mail oraz – w przypadku części klientów – ich pełne adresy, dane z prawa jazdy lub numery paszportów.
Praktyki bezpieczeństwa Optus pod mikroskopem
Naruszenie wzbudziło obawy związane z powszechnymi oszustwami dotyczącymi tożsamości i zmusiło firmę Optus – między innymi – do współpracy z rządami różnych australijskich stanów w celu omówienia możliwości zmiany danych prawa jazdy osób, których to dotyczy, na koszt firmy. „Kiedy się z Tobą skontaktujemy, zasilimy Twoje konto w celu pokrycia wszelkich kosztów wymiany. Zrobimy to automatycznie, więc nie muszą się Państwo z nami kontaktować” – poinformował klientów Optus. „Jeśli nie otrzymałeś od nas żadnej wiadomości, oznacza to, że Twoje prawo jazdy nie wymaga wymiany.”
Naruszenie danych postawiło praktyki bezpieczeństwa firmy Optus w centrum uwagi, zwłaszcza że wydaje się, że wynikało z fundamentalnego błędu. Australian Broadcasting Corporation (ABC), 22 września zacytował niezidentyfikowaną „starszą postać”.” wewnątrz Optusa, twierdząc, że atakujący zasadniczo mógł uzyskać dostęp do bazy danych za pośrednictwem nieuwierzytelnionego interfejsu programowania aplikacji (API).
Osoba mająca dostęp do informacji poufnych rzekomo powiedziała ABC, że aktywna baza danych tożsamości klientów, do której uzyskał dostęp atakujący, została połączona z Internetem za pośrednictwem niechronionego interfejsu API. Założenie było takie, że z API będą korzystać wyłącznie autoryzowane systemy Optus. Ale w jakiś sposób trafiło do sieci testowej, która tak się złożyło, że była bezpośrednio połączona z Internetem, jak powiedziała ABC, cytowana przez informatora.
ABC i inne media opisały dyrektor generalną Optus Kelly Bayer Rosmarin, która upierała się, że firma stała się ofiarą wyrafinowanego ataku i że dane, do których atakujący miał uzyskać dostęp, zostały zaszyfrowane.
Jeśli raport o ujawnionym interfejsie API jest prawdziwy, Optus padł ofiarą błędu bezpieczeństwa, który popełnia wiele innych osób. „Zerwane uwierzytelnianie użytkownika to jedna z najczęstszych luk w zabezpieczeniach interfejsu API” – mówi Adam Fisher, architekt rozwiązań w Salt Security. „Atakujący szukają ich w pierwszej kolejności, ponieważ nieuwierzytelnione interfejsy API nie podejmują żadnego wysiłku, aby je złamać”.
Otwarte lub nieuwierzytelnione interfejsy API często są wynikiem błędnej konfiguracji zespołu ds. infrastruktury lub zespołu zarządzającego uwierzytelnianiem – mówi. „Ponieważ do obsługi aplikacji potrzeba więcej niż jednego zespołu, często dochodzi do nieporozumień w komunikacji” – mówi Fisher. Zauważa, że nieuwierzytelnione interfejsy API zajmują drugie miejsce na liście 10 najważniejszych luk w zabezpieczeniach interfejsów API sporządzonej przez OWASP.
W raporcie zleconym przez Imperva na początku tego roku wskazano, że przedsiębiorstwa amerykańskie ponoszą straty pomiędzy Straty w wysokości 12 i 23 miliardów dolarów w wyniku kompromisów związanych z API dopiero w 2022 r. – wykazało kolejne badanie oparte na ankietach, które Cloudentity przeprowadziło w zeszłym roku 44% respondentów stwierdziło, że w ich organizacji doszło do wycieku danych oraz inne problemy wynikające z luk w zabezpieczeniach API.
„Wystraszony” napastnik?
FBI nie odpowiedziało natychmiast na prośbę Dark Reading o komentarz za pośrednictwem adresu e-mail krajowego biura prasowego, ale Opiekun
a inni zgłosili, że wezwano amerykańskie organy ścigania do pomocy w dochodzeniu. The Australijska policja federalna, która bada naruszenie Optus, oświadczyła, że współpracuje z zagranicznymi organami ścigania, aby wyśledzić osobę lub grupę odpowiedzialną za to naruszenie.
Casey Ellis, założycielka i dyrektor ds. technicznych firmy Bugcrowd zajmującej się nagrodami za błędy, twierdzi, że intensywna analiza naruszenia ze strony australijskiego rządu, opinii publicznej i organów ścigania mogła wystraszyć napastnika. „Rzadko zdarza się, aby tego typu interakcja była tak spektakularna jak ta” – mówi. „Narażenie na szwank prawie połowy populacji kraju przyciągnie bardzo intensywną i potężną uwagę, a zaangażowani w to napastnicy wyraźnie tego nie docenili”.
Ich odpowiedź sugeruje, że podmioty zagrażające są bardzo młode i prawdopodobnie nie mają doświadczenia w działaniach przestępczych, przynajmniej na taką skalę, zauważa.
„Bez wątpienia rząd australijski potraktował to naruszenie bardzo poważnie i zaciekle ściga napastnika” – dodaje Fisher. „Ta silna reakcja mogła zaskoczyć atakującego” i prawdopodobnie skłoniła go do zastanowienia się. „Jednak niestety dane są już publicznie dostępne. Gdy firma znajdzie się w takich wiadomościach, każdy haker zwraca na nią uwagę.”
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
