Cyberintruz w zeszłym tygodniu w australijskiej firmie telekomunikacyjnej Optus, która ma około 10 milionów klientów, wywołał gniew rządu tego kraju z powodu tego, jak firma, która dokonała naruszenia, powinna radzić sobie ze skradzionymi danymi identyfikacyjnymi.
Darkweb screeny wynurzył się szybko po ataku, z podziemiem Fora naruszeń użytkownik przechodzący pod prostą nazwą optusdata oferując dwie transze danych, twierdząc, że posiadały dwie bazy danych w następujący sposób:
11,200,000 4,232,652 3,664,598 rekordów użytkowników z imieniem i nazwiskiem, datą urodzenia, numerem telefonu komórkowego i dowodem osobistym 10,000,000 3,817,197 3,238,014 wpisy zawierały jakiś numer dokumentu tożsamości XNUMX XNUMX XNUMX identyfikatorów pochodziło z prawa jazdy XNUMX XNUMX XNUMX rekordów adresowych z e-mailem, datą urodzenia, dowodem osobistym i innymi danymi XNUMX XNUMX XNUMX miało numer dokumentu tożsamości XNUMX XNUMX XNUMX identyfikatorów pochodziło z prawa jazdy
Sprzedawca napisał: „Optus, jeśli czytasz! Cena za niesprzedanie danych [sic] wynosi 1,000,000 1 XNUMX USD! Dajemy Ci XNUMX tydzień na podjęcie decyzji.”
Sprzedawca powiedział, że zwykli nabywcy mogliby mieć bazy danych za 300,000 1 dolarów jako działkę, gdyby Optus nie skorzystał z oferty „wyłącznego dostępu” za XNUMX milion dolarów w ciągu tygodnia.
Sprzedawca powiedział, że oczekuje płatności w formie Monero, popularnej kryptowaluty, którą trudniej wyśledzić niż Bitcoin.
Transakcje Monero są wymieszane ze sobą w ramach protokołu płatności, dzięki czemu ekosystem Monero staje się rodzajem kubka kryptowalutowego lub anonimizatora.
Co się stało?
Samo naruszenie danych było najwyraźniej spowodowane brakiem zabezpieczeń w tym, co jest znane w żargonie jako an Punkt końcowy interfejsu API. (API to skrót od Interfejs aplikacji do programowania, predefiniowany sposób, w jaki jedna część aplikacji lub kolekcja aplikacji może żądać jakiejś usługi lub pobierać dane z innej).
W sieci punkty końcowe API zwykle przyjmują postać specjalnych adresów URL, które wyzwalają określone zachowanie lub zwracają żądane dane, zamiast po prostu udostępniać stronę internetową.
Na przykład adres URL, taki jak https://www.example.com/about może po prostu zwrócić statyczną stronę internetową w formie HTML, na przykład:
About this site
This site is just an example, as the URL implies.
Odwiedzenie adresu URL za pomocą przeglądarki spowodowałoby zatem wyświetlenie strony internetowej, która wygląda tak, jak można by się spodziewać:
Ale adres URL, taki jak https://api.example.com/userdata?id=23de6731e9a7 może zwrócić rekord bazy danych specyficzny dla określonego użytkownika, tak jakbyś wykonał wywołanie funkcji w programie C w następujący sposób:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
Zakładając, że żądany identyfikator użytkownika istnieje w bazie danych, wywołanie równoważnej funkcji za pośrednictwem żądania HTTP do punktu końcowego może wygenerować odpowiedź w formacie JSON, na przykład:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
W interfejsie API tego rodzaju prawdopodobnie można by oczekiwać wprowadzenia kilku środków bezpieczeństwa cybernetycznego, takich jak:
- Poświadczenie. Każde żądanie sieciowe może wymagać dołączenia nagłówka HTTP określającego losowy (niemożliwy do odgadnięcia) plik cookie sesji wydany użytkownikowi, który niedawno udowodnił swoją tożsamość, na przykład za pomocą nazwy użytkownika, hasła i kodu 2FA. Ten rodzaj pliku cookie sesji, zwykle ważny tylko przez ograniczony czas, działa jako tymczasowa przepustka dostępu dla żądań wyszukiwania, które są następnie wykonywane przez wstępnie uwierzytelnionego użytkownika. Dzięki temu żądania API od nieuwierzytelnionych lub nieznanych użytkowników mogą zostać natychmiast odrzucone.
- Ograniczenia dostępu. W przypadku wyszukiwań w bazach danych, które mogą pobierać dane osobowe (PII), takie jak numery identyfikacyjne, adresy domowe lub dane kart płatniczych, serwer akceptujący żądania punktów końcowych interfejsu API może nałożyć ochronę na poziomie sieci w celu odfiltrowania żądań przychodzących bezpośrednio z Internetu. Atakujący musiałby zatem najpierw skompromitować serwer wewnętrzny i nie byłby w stanie przeszukiwać danych bezpośrednio przez Internet.
- Trudne do odgadnięcia identyfikatory baz danych. Chociaż bezpieczeństwo poprzez zaciemnienie (znany również jako „nigdy tego nie zgadną”) jest słabą podstawą cyberbezpieczeństwa, nie ma sensu ułatwiać oszustom niż to konieczne. Jeśli twój własny identyfikator użytkownika to
00000145, a wiesz, że znajomy, który zapisał się zaraz po tym,00000148, to można się domyślić, że prawidłowe wartości identyfikatora użytkownika zaczynają się od00000001i idź stamtąd. Wartości generowane losowo utrudniają atakującym, którzy znaleźli już lukę w kontroli dostępu, uruchomienie pętli, która w kółko próbuje odzyskać prawdopodobny identyfikator użytkownika. - Ograniczenie szybkości. Dowolna powtarzająca się sekwencja podobnych żądań może być wykorzystana jako potencjalny IoC lub wskaźnik kompromisu. Cyberprzestępcy, którzy chcą pobrać 11,000,000 XNUMX XNUMX elementów bazy danych, zazwyczaj nie używają jednego komputera z jednym numerem IP do wykonania całej pracy, więc ataki masowego pobierania nie zawsze są od razu oczywiste, tylko z powodu tradycyjnych przepływów sieciowych. Ale często generują wzorce i wskaźniki aktywności, które po prostu nie pasują do tego, czego można się spodziewać w prawdziwym życiu.
Najwyraźniej niewiele lub żadna z tych zabezpieczeń nie była na miejscu podczas ataku Optus, w szczególności w tym pierwsza…
…co oznacza, że osoba atakująca była w stanie uzyskać dostęp do informacji umożliwiających identyfikację użytkownika bez konieczności identyfikowania się, nie mówiąc już o kradzieży kodu logowania legalnego użytkownika lub pliku cookie uwierzytelniania, aby się do niego dostać.
Wygląda na to, że punkt końcowy API z dostępem do poufnych danych został szeroko otwarty na Internet, gdzie został odkryty przez cyberprzestępcę i wykorzystany do wydobycia informacji, które powinny stać za jakimś rodzajem cyberprzestępcy.
Ponadto, jeśli wierzyć twierdzeniom napastnika, że odzyskał łącznie ponad 20,000,000 XNUMX XNUMX rekordów baz danych z dwóch baz danych, zakładamy [a], że Optus userid kody były łatwe do obliczenia lub odgadnięcia i [b], że nie pojawiły się ostrzeżenia „dostęp do bazy danych nie osiągnął nietypowych poziomów”.
Niestety, Optus nie określił zbyt jasno, w jaki sposób atak się rozwinął, mówiąc jedynie:
P. Jak to się stało?
A. Optus padł ofiarą cyberataku. […]
P. Czy atak został zatrzymany?
Tak. Po odkryciu tego, Optus natychmiast zamknął atak.
Innymi słowy, wygląda na to, że „zamknięcie ataku” obejmowało zamknięcie luki przed dalszymi włamaniami (np. poprzez zablokowanie dostępu do nieuwierzytelnionego punktu końcowego interfejsu API), a nie przechwycenie początkowego ataku na wczesnym etapie po kradzieży tylko ograniczonej liczby rekordów .
Podejrzewamy, że gdyby Optus wykrył atak, gdy był jeszcze w toku, firma określiłaby w swoim FAQ, jak daleko zaszli oszuści, zanim ich dostęp został zamknięty.
Co następne?
A co z klientami, których numery paszportu lub prawa jazdy zostały ujawnione?
Jakie ryzyko stwarza dla ofiary takiego naruszenia bezpieczeństwa wyciek numeru dokumentu tożsamości, a nie bardziej kompletne szczegóły samego dokumentu (takie jak skan w wysokiej rozdzielczości lub uwierzytelniona kopia)?
Jaką wartość identyfikacyjną powinniśmy nadać samym numerom identyfikacyjnym, biorąc pod uwagę, jak szeroko i często udostępniamy je w dzisiejszych czasach?
Według rządu australijskiego ryzyko jest na tyle duże, że ofiarom naruszenia doradza się wymianę dokumentów, których to dotyczy.
A przy prawdopodobnie milionach użytkowników, których to dotyczy, same opłaty za odnowienie dokumentów mogą sięgać setek milionów dolarów i wymagać unieważnienia i ponownego wydania znacznej części krajowych praw jazdy.
Szacujemy, że około 16 milionów Australijczyków ma licencje i są skłonni używać ich jako dowodu tożsamości w Australii zamiast nosić ze sobą paszporty. Tak więc, jeśli optusdata Plakat BreachForum mówił prawdę i skradziono blisko 4 miliony numerów licencji, blisko 25% wszystkich australijskich licencji może wymagać wymiany. Nie wiemy, jak przydatne może być to w przypadku australijskich praw jazdy, które są wydawane przez poszczególne stany i terytoria. Na przykład w Wielkiej Brytanii numer twojego prawa jazdy jest dość oczywiście wyprowadzony algorytmicznie z twojego nazwiska i daty urodzenia, z bardzo skromną ilością tasowania i tylko kilkoma przypadkowymi znakami. Nowa licencja otrzymuje zatem nowy numer, który jest bardzo podobny do poprzedniego.
Osoby bez licencji lub goście, którzy kupili karty SIM od Optus na podstawie paszportu zagranicznego, musieliby zamiast tego wymienić swoje paszporty – wymiana paszportu w Australii kosztuje blisko 193 USD, paszport brytyjski to 75 do 85 GBP, a odnowienie w USA wynosi od 130 USD do 160 USD.
(Jest jeszcze kwestia czasu oczekiwania: Australia obecnie informuje, że wymiana paszportu potrwa co najmniej 6 tygodni [2022-09-28T13:50Z] i to bez nagłego wzrostu spowodowanego przetwarzaniem związanym z naruszeniem; w Wielkiej Brytanii ze względu na istniejących zaległości, rząd Jego Królewskiej Mości obecnie mówi wnioskodawcom, aby przewidzieli 10 tygodni na odnowienie paszportu.)
Kto ponosi koszty?
Oczywiście, jeśli zastąpienie wszystkich potencjalnie skompromitowanych identyfikatorów zostanie uznane za konieczne, palące pytanie brzmi: „Kto zapłaci?”
Według australijskiego premiera Anthony'ego Albanese'a nie ma wątpliwości, skąd powinny pochodzić pieniądze na wymianę paszportów:
Tego popołudnia @albompa przekazał parlamentowi ważną aktualizację dotyczącą naruszenia bezpieczeństwa Optus.
Nie tylko żądamy od Optus zapłaty za paszporty zastępcze dla osób dotkniętych naruszeniem, ale także zobowiązujemy się do wzmocnienia naszych przepisów dotyczących prywatności poprzez przegląd ustawy o prywatności. pic.twitter.com/JyoRJxyM3p
— Clare O'Neil MP (@ClareONeilMP) 28 września 2022 r.
Nie ma słowa od ustawodawcy federalnego na temat wymiany praw jazdy, która jest sprawą zarządzaną przez rządy stanów i terytoriów…
…i żadne słowo o tym, czy „wymień wszystkie dokumenty” nie stanie się rutynową reakcją za każdym razem, gdy zostanie zgłoszone naruszenie związane z dokumentem tożsamości, coś, co mogłoby łatwo zalać służbę publiczną, biorąc pod uwagę, że licencje i paszporty mają zwykle trwać 10 lat.
Obserwuj tę przestrzeń – wygląda na to, że będzie ciekawie!
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- naruszenie danych
- Utrata danych
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- Optus
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- prywatność
- VPN
- zabezpieczenia stron internetowych
- zefirnet
![S3 Ep91: CodeRed, OpenSSL, błędy Java i makra pakietu Office [Podcast + Transcript] PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.](https://platoblockchain.com/wp-content/uploads/2022/07/nsp-1200-300x157.png "S3 Ep91: CodeRed, OpenSSL, błędy Java i makra pakietu Office [Podcast + Transcript]")
![S3, odc. 126: Cena szybkiej mody (i pełzania funkcji) [Audio + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3, odc. 126: Cena szybkiej mody (i pełzania funkcji) [Audio + tekst]")