A invasão cibernética da semana passada na telco australiana Optus, que tem cerca de 10 milhões de clientes, atraiu a ira do governo do país sobre como a empresa violada deve lidar com detalhes de identidade roubados.
Darkweb screenshots emergiu rapidamente após o ataque, com um Fóruns de violação usuário usando o nome simples de optusdata oferecendo duas parcelas de dados, alegando que possuíam dois bancos de dados da seguinte forma:
11,200,000 registros de usuários com nome, data de nascimento, número de celular e ID 4,232,652 registros incluíam algum tipo de documento de identidade número 3,664,598 dos IDs eram de carteiras de motorista 10,000,000 registros de endereço com e-mail, data de nascimento, ID e mais 3,817,197 tinham número de documento de identidade 3,238,014 dos IDs eram de carteiras de motorista
O vendedor escreveu, “Optus se você estiver lendo! O preço para nós não vender [sic] dados é de 1,000,000$US! Damos-lhe 1 semana para decidir.”
Os compradores regulares, disse o vendedor, poderiam ter os bancos de dados por US$ 300,000 como lote de trabalho, se a Optus não aceitasse sua oferta de "acesso exclusivo" de US$ 1 milhão dentro de uma semana.
O vendedor disse que esperava pagamento na forma de Monero, uma criptomoeda popular que é mais difícil de rastrear que o Bitcoin.
As transações Monero são misturados como parte do protocolo de pagamento, transformando o ecossistema Monero em uma espécie de tumbler ou anonimizador de criptomoedas por direito próprio.
O que aconteceu?
A própria violação de dados aparentemente se deveu à falta de segurança no que é conhecido no jargão como um Ponto final da API. (API é a abreviação de interface de programação de aplicativos, uma maneira predefinida para uma parte de um aplicativo, ou coleção de aplicativos, solicitar algum tipo de serviço ou recuperar dados de outro.)
Na web, os endpoints da API normalmente assumem a forma de URLs especiais que acionam um comportamento específico ou retornam dados solicitados, em vez de simplesmente servir uma página da web.
Por exemplo, um URL como https://www.example.com/about pode simplesmente alimentar uma página da Web estática em formato HTML, como:
About this site
This site is just an example, as the URL implies.
Visitar o URL com um navegador resultaria, portanto, em uma página da Web com a aparência esperada:
Mas um URL como https://api.example.com/userdata?id=23de6731e9a7 pode retornar um registro de banco de dados específico para o usuário especificado, como se você tivesse feito uma chamada de função em um programa C ao longo das linhas de:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
Supondo que o ID do usuário solicitado exista no banco de dados, chamar a função equivalente por meio de uma solicitação HTTP para o endpoint pode produzir uma resposta no formato JSON, assim:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
Em uma API desse tipo, você provavelmente esperaria que várias precauções de segurança cibernética estivessem em vigor, como:
- Autenticação. Cada solicitação da web pode precisar incluir um cabeçalho HTTP especificando um cookie de sessão aleatório (improvável) emitido para um usuário que provou recentemente sua identidade, por exemplo, com um nome de usuário, senha e código 2FA. Esse tipo de cookie de sessão, normalmente válido apenas por um tempo limitado, atua como um passe de acesso temporário para solicitações de pesquisa realizadas posteriormente pelo usuário pré-autenticado. Solicitações de API de usuários não autenticados ou desconhecidos podem, portanto, ser rejeitadas instantaneamente.
- Restrições de acesso. Para pesquisas de banco de dados que podem recuperar dados de identificação pessoal (PII), como números de identificação, endereços residenciais ou detalhes de cartão de pagamento, o servidor que aceita solicitações de endpoint da API pode impor proteção em nível de rede para filtrar solicitações vindas diretamente da Internet. Portanto, um invasor precisaria comprometer um servidor interno primeiro e não seria capaz de investigar dados diretamente pela Internet.
- Identificadores de banco de dados difíceis de adivinhar. Apesar segurança através da obscuridade (também conhecido como “eles nunca vão adivinhar isso”) é uma base subjacente ruim para a segurança cibernética, não faz sentido tornar as coisas mais fáceis do que você precisa para os bandidos. Se o seu próprio ID de usuário for
00000145, e você sabe que um amigo que se inscreveu logo depois que você00000148, então é um bom palpite que os valores válidos do ID do usuário começam em00000001e suba a partir daí. Valores gerados aleatoriamente tornam mais difícil para invasores que já encontraram uma brecha em seu controle de acesso executar um loop que tenta repetidamente recuperar prováveis IDs de usuário. - Limitação de taxa. Qualquer sequência repetitiva de solicitações semelhantes pode ser usada como um potencial IoC ou indicador de compromisso. Os cibercriminosos que desejam baixar 11,000,000 de itens de banco de dados geralmente não usam um único computador com um único número IP para fazer todo o trabalho, portanto, os ataques de download em massa nem sempre são imediatamente óbvios apenas nos fluxos de rede tradicionais. Mas eles geralmente geram padrões e taxas de atividade que simplesmente não correspondem ao que você esperaria ver na vida real.
Aparentemente, poucas ou nenhuma dessas proteções estavam em vigor durante o ataque Optus, incluindo a primeira…
…o que significa que o invasor conseguiu acessar as PII sem precisar se identificar, muito menos roubar o código de login de um usuário legítimo ou o cookie de autenticação para entrar.
De alguma forma, ao que parece, um endpoint de API com acesso a dados confidenciais foi aberto à Internet em geral, onde foi descoberto por um cibercriminoso e abusado para extrair informações que deveriam estar por trás de algum tipo de porta levadiça de segurança cibernética.
Além disso, se a alegação do invasor de ter recuperado um total de mais de 20,000,000 registros de banco de dados de dois bancos de dados for confiável, estamos assumindo [a] que a Optus userid códigos foram facilmente calculados ou adivinhados, e [b] que nenhum aviso de “acesso ao banco de dados atingiu níveis incomuns” disparou.
Infelizmente, a Optus não foi muito clara sobre como o ataque se desenrolou, dizendo apenas:
P. Como isso aconteceu?
R. A Optus foi vítima de um ataque cibernético. […]
P. O ataque foi interrompido?
R. Sim. Ao descobrir isso, a Optus imediatamente encerrou o ataque.
Em outras palavras, parece que “encerrar o ataque” envolvia fechar a brecha contra novas invasões (por exemplo, bloqueando o acesso ao endpoint de API não autenticado) em vez de interceptar o ataque inicial logo no início, depois que apenas um número limitado de registros foi roubado .
Suspeitamos que, se a Optus tivesse detectado o ataque enquanto ainda estava em andamento, a empresa teria declarado em seu FAQ até onde os criminosos chegaram antes de seu acesso ser encerrado.
Qual o proximo?
E os clientes cujos números de passaporte ou carteira de motorista foram expostos?
Quanto de risco o vazamento de um número de documento de identificação, em vez de detalhes mais completos do próprio documento (como uma digitalização de alta resolução ou cópia autenticada), representa para a vítima de uma violação de dados como essa?
Quanto valor de identificação devemos dar apenas aos números de identificação, considerando a amplitude e a frequência com que os compartilhamos hoje em dia?
De acordo com o governo australiano, o risco é significativo o suficiente para que as vítimas da violação sejam aconselhadas a substituir os documentos afetados.
E com possivelmente milhões de usuários afetados, as taxas de renovação de documentos sozinhas podem chegar a centenas de milhões de dólares e exigir o cancelamento e a reemissão de uma proporção significativa das carteiras de motorista do país.
Estimamos que cerca de 16 milhões de australianos tenham licenças e estão inclinados a usá-las como identidade dentro da Austrália, em vez de carregar seus passaportes. Então, se o optusdata O pôster do BreachForum estava dizendo a verdade, e cerca de 4 milhões de números de licença foram roubados, cerca de 25% de todas as licenças australianas podem precisar ser substituídas. Não sabemos o quão útil isso pode realmente ser no caso de carteiras de motorista australianas, que são emitidas por estados e territórios individuais. No Reino Unido, por exemplo, o número da sua carteira de motorista é obviamente derivado algoritmicamente de seu nome e data de nascimento, com uma quantidade muito modesta de embaralhamento e apenas alguns caracteres aleatórios inseridos. Uma nova licença, portanto, recebe um novo número muito semelhante ao anterior.
Aqueles sem licença, ou visitantes que compraram cartões SIM da Optus com base em um passaporte estrangeiro, precisariam substituir seus passaportes - uma substituição de passaporte da Austrália custa cerca de AU $ 193, um passaporte do Reino Unido custa £ 75 a £ 85 e uma renovação nos EUA é de US$ 130 a US$ 160.
(Há também a questão dos tempos de espera: a Austrália atualmente informa que a substituição do passaporte levará pelo menos 6 semanas [2022-09-28T13:50Z], e isso sem um aumento repentino causado por processamento relacionado a violações; no Reino Unido, devido a atrasos existentes, o governo de Sua Majestade está atualmente dizendo aos solicitantes que aguardem 10 semanas para a renovação do passaporte.)
Quem arca com o custo?
Obviamente, se a substituição de todos os IDs potencialmente comprometidos for considerada necessária, a questão principal é: “Quem vai pagar?”
Segundo o primeiro-ministro australiano, Anthony Albanese, não há dúvidas de onde deve vir o dinheiro para substituir os passaportes:
Esta tarde @albomp deu ao parlamento uma atualização importante sobre a violação de segurança Optus.
Não estamos apenas exigindo que a Optus pague por passaportes substitutos para aqueles afetados pela violação, mas também estamos comprometidos em fortalecer nossas leis de privacidade por meio da revisão da Lei de Privacidade. pic.twitter.com/JyoRJxyM3p
— Clare O'Neil MP (@ClareONeilMP) 28 de Setembro de 2022
Não há nenhuma palavra da legislatura federal sobre a substituição da carteira de motorista, que é um assunto tratado pelos governos estaduais e territoriais…
…e nenhuma palavra sobre se “substituir todos os documentos” se tornará uma reação rotineira sempre que uma violação envolvendo documento de identidade for denunciada, algo que poderia facilmente inundar o serviço público, já que as licenças e passaportes geralmente têm duração de 10 anos cada.
Assista a este espaço - isso parece pronto para ficar interessante!
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- violação de dados
- Perda de Dados
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- Optus
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- política de privacidade
- VPN
- a segurança do website
- zefirnet
![S3 Ep91: CodeRed, OpenSSL, bugs Java e macros do Office [Podcast + Transcrição] PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/nsp-1200-300x157.png "S3 Ep91: CodeRed, OpenSSL, bugs Java e macros do Office [Podcast + Transcrição]")
![S3 Ep 126: O preço da moda rápida (e recurso rastejante) [Áudio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: O preço da moda rápida (e recurso rastejante) [Áudio + Texto]")