A gigante australiana de telecomunicações Optus está supostamente recebendo ajuda do FBI para investigar o que parece ter sido uma violação facilmente evitável que acabou expondo dados confidenciais de quase 10 milhões de clientes.
Enquanto isso, o aparente hacker ou hackers por trás da violação retiraram na terça-feira seu pedido de resgate de US$ 1 milhão, juntamente com a ameaça de liberar lotes de dados roubados até que o resgate fosse pago. O ator da ameaça também alegou que excluiu todos os dados roubados da Optus. A aparente mudança de opinião, no entanto, ocorreu depois que o invasor já havia divulgado uma amostra de cerca de 10,200 registros de clientes, aparentemente como prova de intenção.
Second Thoughts
A razão do invasor para retirar o pedido de resgate e a ameaça de vazamento de dados permanecem obscuras. Mas em um comunicado postado em um fórum da Dark Web – e republicado em databreaches.net – o suposto invasor aludiu a “muitos olhos” vendo os dados como um dos motivos. “Não venderemos dados a ninguém”, dizia a nota. “Não podemos, mesmo que queiramos: excluímos pessoalmente os dados da unidade (apenas cópia).”
O invasor também pediu desculpas à Optus e aos 10,200 clientes cujos dados foram vazados: “A Austrália não verá nenhum ganho com fraudes, isso pode ser monitorado. Talvez para 10,200 australianos, mas para o resto da população não. Sinto muito por você.
É improvável que o pedido de desculpas e as alegações do invasor de excluir os dados roubados aliviem as preocupações em torno do ataque, que foi descrito como a maior violação de todos os tempos na Austrália.
Optus divulgou pela primeira vez a violação em 21 de setembro, e em uma série de atualizações desde então, descreveu-o como afetando os clientes atuais e anteriores de banda larga, móvel e clientes empresariais da empresa a partir de 2017. De acordo com a empresa, a violação pode ter potencialmente exposto nomes de clientes, datas de nascimento, números de telefone, endereços de e-mail e – para um subconjunto de clientes – seus endereços completos, informações de carteira de motorista ou números de passaporte.
Práticas de segurança Optus sob o microscópio
A violação despertou preocupações sobre fraude de identidade generalizada e levou a Optus a – entre outras medidas – trabalhar com diferentes governos estaduais australianos para discutir o potencial de alteração dos detalhes da carteira de motorista dos indivíduos afetados às custas da empresa. “Quando entrarmos em contato, colocaremos um crédito em sua conta para cobrir qualquer custo de substituição relevante. Faremos isso automaticamente, para que você não precise entrar em contato conosco”, informou a Optus aos clientes. “Se você não receber notícias nossas, significa que sua carteira de motorista não precisa ser alterada.”
O comprometimento dos dados colocou as práticas de segurança da Optus sob os holofotes, especialmente porque parece ter resultado de um erro fundamental. A Australian Broadcasting Corporation (ABC) em 22 de setembro citou uma “figura sênior não identificada”dentro da Optus dizendo que o invasor foi basicamente capaz de acessar o banco de dados por meio de uma interface de programação de aplicativo (API) não autenticada.
A fonte supostamente disse à ABC que o banco de dados de identidade do cliente ao vivo que o invasor acessou estava conectado à Internet por meio de uma API desprotegida. A suposição era que apenas sistemas Optus autorizados usariam a API. Mas de alguma forma acabou sendo exposto a uma rede de teste, que por acaso estava diretamente conectada à Internet, disse a ABC, citando a fonte.
A ABC e outros meios de comunicação descreveram a CEO da Optus, Kelly Bayer Rosmarin, como insistindo que a empresa foi vítima de um ataque sofisticado e que os dados que o invasor alegou ter acessado estavam criptografados.
Se o relato sobre a API exposta for verdadeiro, a Optus foi vítima de um erro de segurança que muitos outros cometem. “A autenticação de usuário quebrada é uma das vulnerabilidades de API mais comuns”, diz Adam Fisher, arquiteto de soluções da Salt Security. “Os invasores os procuram primeiro porque APIs não autenticadas não exigem nenhum esforço para serem violadas.”
APIs abertas ou não autenticadas geralmente são o resultado da equipe de infraestrutura, ou da equipe que gerencia a autenticação, configurando algo incorretamente, diz ele. “Como é necessária mais de uma equipe para executar um aplicativo, frequentemente ocorrem falhas de comunicação”, diz Fisher. Ele observa que APIs não autenticadas ocupam o segundo lugar na lista das 10 principais vulnerabilidades de segurança de API da OWASP.
Um relatório encomendado pela Imperva no início deste ano identificou que as empresas dos EUA incorrem entre US$ 12 bilhões e US$ 23 bilhões em perdas decorrentes de comprometimentos vinculados à API apenas em 2022. Outro estudo baseado em pesquisa que a Cloudentity conduziu no ano passado descobriu 44% dos entrevistados afirmaram que sua organização sofreu vazamento de dados e outros problemas decorrentes de lapsos de segurança da API.
Atacante “assustado”?
O FBI não respondeu imediatamente a um pedido de comentários da Dark Reading por meio do endereço de e-mail da assessoria de imprensa nacional, mas o Guardian
e outros relataram que a agência policial dos EUA foi chamada para ajudar na investigação. O Polícia Federal Australiana, que está investigando a violação da Optus, disse que está trabalhando com autoridades policiais estrangeiras para rastrear o indivíduo ou grupo responsável por ela.
Casey Ellis, fundador e CTO da empresa de recompensas de bugs Bugcrowd, diz que o intenso escrutínio que a violação recebeu do governo australiano, do público e das autoridades policiais pode ter assustado o invasor. “É bastante raro que este tipo de interação seja tão espetacular como esta”, diz ele. “Comprometer quase metade da população de um país atrairá muita atenção, muito intensa e poderosa, e os agressores aqui envolvidos claramente subestimaram isso.”
A sua resposta sugere que os actores da ameaça são muito jovens e provavelmente muito novos na conduta criminosa, pelo menos nesta escala, observa ele.
“É evidente que o governo australiano levou esta violação muito a sério e está perseguindo vorazmente o agressor”, acrescenta Fisher. “Essa resposta forte pode ter pego o invasor desprevenido” e provavelmente levou a dúvidas. “No entanto, infelizmente, os dados já estão abertos. Quando uma empresa aparece em notícias como essa, todo hacker presta atenção.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
