Gigantul australian de telecomunicații Optus primește ajutor de la FBI pentru a investiga ceea ce pare să fi fost o încălcare ușor prevenibilă, care a ajuns să expună date sensibile despre aproape 10 milioane de clienți.
Între timp, hackerul sau hackerii aparent din spatele încălcării și-au retras marți cererea pentru o răscumpărare de 1 milion de dolari, împreună cu amenințarea de a elibera loturi de date furate până când răscumpărarea va fi plătită. Actorul amenințării a susținut, de asemenea, că a șters toate datele furate de la Optus. Aparenta schimbare a inimii, totuși, a survenit după ce atacatorul a lansat deja mai devreme un eșantion de aproximativ 10,200 de înregistrări ale clienților, aparent ca dovadă a intenției.
A avea nedumeriri
Motivul atacatorului pentru retragerea cererii de răscumpărare și amenințarea cu scurgerile de date rămân neclare. Dar într-o declarație postată pe un forum Dark Web - și repostate pe databreaches.net — presupusul atacator a făcut aluzie la „prea mulți ochi”, văzând datele ca fiind un motiv. „Nu vom vinde date nimănui”, se spunea în nota. „Nu putem dacă vrem: date șterse personal de pe unitate (doar copiere).”
Atacatorul și-a cerut scuze lui Optus și celor 10,200 de clienți ale căror date au fost scurse: „Australia nu va vedea niciun câștig în fraudă, acest lucru poate fi monitorizat. Poate pentru 10,200 de australieni, dar restul populației nr. Îmi pare foarte rău pentru tine.”
Scuzele și afirmațiile atacatorului de ștergere a datelor furate sunt puțin probabil să atenueze îngrijorările legate de atac, care a fost descris drept cea mai mare încălcare din Australia.
Optus a dezvăluit prima dată încălcarea pe 21 septembrie, iar într-o serie de actualizări de atunci a descris-o ca afectând clienții actuali și anteriori ai clienților de bandă largă, de telefonie mobilă și de afaceri ai companiei începând cu 2017. Potrivit companiei, încălcarea ar putea fi expus numele clienților, datele nașterii, numerele de telefon, adresele de e-mail și, pentru un subset de clienți, adresele lor complete, informațiile despre permisul de conducere sau numerele de pașaport.
Practici de securitate Optus la microscop
Încălcarea a stârnit îngrijorarea cu privire la frauda de identitate pe scară largă și a împins Optus să colaboreze, printre alte măsuri, cu diferite guverne de stat australiene pentru a discuta potențialul de modificare a detaliilor permisului de conducere ale persoanelor afectate, pe seama companiei. „Când luăm legătura, vom plasa un credit în contul dumneavoastră pentru a acoperi orice cost de înlocuire relevant. Vom face acest lucru automat, astfel încât să nu fie nevoie să ne contactați”, a informat Optus clienții. „Dacă nu auzi de la noi, înseamnă că nu trebuie să-ți schimbi permisul de conducere.”
Compromisul datelor a pus practicile de securitate Optus sub lumina reflectoarelor, mai ales pentru că pare să fi rezultat dintr-o eroare fundamentală. Australian Broadcasting Corporation (ABC) pe 22 septembrie a citat o „figură senioră” neidentificata” în interiorul Optus, spunând că atacatorul a putut, practic, să acceseze baza de date printr-o interfață de programare a aplicațiilor (API) neautentificată.
Insiderul ar fi spus pentru ABC că baza de date live de identitate a clienților accesată de atacator a fost conectată printr-un API neprotejat la internet. Se presupunea că numai sistemele Optus autorizate vor folosi API-ul. Dar a ajuns cumva să fie expus la o rețea de testare, care s-a întâmplat să fie conectată direct la Internet, a declarat ABC citat de insider.
ABC și alte instituții media l-au descris pe CEO-ul Optus, Kelly Bayer Rosmarin, ca insistând că compania a fost victima unui atac sofisticat și că datele pe care atacatorul pretindea că le-a accesat au fost criptate.
Dacă raportul despre API-ul expus este adevărat, Optus a fost victima unei greșeli de securitate pe care o fac mulți alții. „Autentificarea utilizatorului întreruptă este una dintre cele mai comune vulnerabilități API”, spune Adam Fisher, arhitect de soluții la Salt Security. „Atacatorii îi caută mai întâi, deoarece API-urile neautentificate nu necesită nici un efort pentru a le încălca.”
API-urile deschise sau neautentificate sunt adesea rezultatul echipei de infrastructură sau al echipei care gestionează autentificarea, configurând greșit ceva, spune el. „Deoarece este nevoie de mai mult de o echipă pentru a rula o aplicație, comunicarea greșită apare frecvent”, spune Fisher. El observă că API-urile neautentificate ocupă locul doi în lista OWASP cu primele 10 vulnerabilități de securitate API.
Un raport comandat de Imperva la începutul acestui an a identificat întreprinderile din SUA ca fiind implicate între ele 12 miliarde de dolari și 23 de miliarde de dolari în pierderi din compromisuri legate de API tocmai în 2022. Un alt studiu bazat pe sondaje pe care l-a efectuat anul trecut Cloudentity a constatat 44% dintre respondenți spun că organizația lor a suferit scurgeri de date și alte probleme care decurg din erorile de securitate API.
Atacatorul „speriat”?
FBI nu a răspuns imediat unei solicitări de comentarii de la Dark Reading prin adresa de e-mail al biroului național de presă, dar Tutore
și alții au raportat că agenția de aplicare a legii din SUA a fost chemată să asiste la anchetă. The Poliția federală australiană, care investighează încălcarea Optus, a declarat că lucrează cu forțele de ordine de peste mări pentru a depista persoana sau grupul responsabil pentru aceasta.
Casey Ellis, fondatorul și CTO al companiei de recompense Bugcrowd, spune că controlul intens pe care a primit încălcarea din partea guvernului australian, a publicului și a forțelor de ordine ar fi putut speria atacatorul. „Este destul de rar ca acest tip de interacțiune să fie la fel de spectaculos ca acesta”, spune el. „Compromiterea a aproape jumătate din populația unei țări va atrage o atenție foarte intensă și foarte puternică, iar atacatorii implicați aici au subestimat clar acest lucru.”
Răspunsul lor sugerează că actorii amenințărilor sunt foarte tineri și probabil foarte noi în comportamentul criminal, cel puțin de această amploare, notează el.
„În mod clar, guvernul australian a luat această încălcare foarte în serios și îl urmărește cu voracitate pe atacator”, adaugă Fisher. „Această reacție puternică ar fi putut să-l fi prins pe atacator cu nerăbdare”, și probabil a provocat gânduri secundare. „Cu toate acestea, din păcate, datele sunt deja la vedere. Odată ce o companie apare în astfel de știri, fiecare hacker este atent.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
