Intruziunea cibernetică de săptămâna trecută la compania de telecomunicații australiană Optus, care are aproximativ 10 milioane de clienți, a stârnit furia guvernului țării cu privire la modul în care compania încălcată ar trebui să facă față detaliilor de identitate furate.
dark web capturi de ecran a apărut rapid după atac, cu un subteran BreachForums utilizator care trece prin numele simplu de optusdata oferind două tranșe de date, susținând că aveau două baze de date, după cum urmează:
11,200,000 de înregistrări ale utilizatorilor cu nume, data nașterii, număr de telefon mobil și ID 4,232,652 înregistrări au inclus un fel de document de identitate cu numărul 3,664,598 dintre ID-uri erau de la permise de conducere 10,000,000 de înregistrări de adresă cu e-mail, data nașterii, ID și mai multe 3,817,197, numere de documente de identitate dintre actele de identitate erau de la permisele de conducere
Vânzătorul a scris, „Optus dacă citești! Prețul pentru noi pentru a nu vinde datele [sic] este de 1,000,000 USD! Vă oferim 1 săptămână pentru a vă decide.”
Cumpărătorii obișnuiți, a spus vânzătorul, ar putea avea bazele de date pentru 300,000 de dolari ca lot de locuri de muncă, dacă Optus nu ar accepta oferta sa de „acces exclusiv” de 1 milion de dolari în cursul săptămânii.
Vânzătorul a spus că se aștepta la plata sub formă de Monero, o criptomonedă populară, care este mai greu de urmărit decât Bitcoin.
Tranzacțiile Monero sunt amestecate împreună ca parte a protocolului de plată, transformând ecosistemul Monero într-un fel de criptomonedă sau anonimizat în sine.
Ce sa întâmplat?
Încălcarea datelor în sine s-a datorat aparent lipsei de securitate a ceea ce este cunoscut în jargon ca un Punct final API. (API este prescurtarea pentru interfața de programare a aplicației, o modalitate predefinită pentru o parte a unei aplicații, sau o colecție de aplicații, de a solicita un fel de serviciu sau de a prelua date de la alta.)
Pe web, punctele finale API iau în mod normal forma unor adrese URL speciale care declanșează un anumit comportament sau returnează datele solicitate, în loc să difuzeze pur și simplu o pagină web.
De exemplu, o adresă URL ca https://www.example.com/about ar putea pur și simplu alimenta o pagină web statică în formă HTML, cum ar fi:
About this site
This site is just an example, as the URL implies.
Prin urmare, vizitarea adresei URL cu un browser ar avea ca rezultat o pagină web care arată așa cum v-ați aștepta:
Dar o adresă URL, cum ar fi https://api.example.com/userdata?id=23de6731e9a7 ar putea returna o înregistrare a bazei de date specifică utilizatorului specificat, ca și cum ați fi efectuat un apel de funcție într-un program C, după cum urmează:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
Presupunând că ID-ul utilizatorului solicitat a existat în baza de date, apelarea funcției echivalente printr-o solicitare HTTP către punctul final ar putea produce un răspuns în format JSON, astfel:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
Într-un API de acest fel, probabil că v-ați aștepta să fie aplicate mai multe măsuri de precauție de securitate cibernetică, cum ar fi:
- Autentificare. Este posibil ca fiecare solicitare web să includă un antet HTTP care specifică un cookie de sesiune aleatoriu (de neghicit) emis unui utilizator care și-a dovedit recent identitatea, de exemplu cu un nume de utilizator, o parolă și un cod 2FA. Acest tip de cookie de sesiune, valabil de obicei doar pentru o perioadă limitată de timp, acționează ca un permis de acces temporar pentru cererile de căutare efectuate ulterior de utilizatorul pre-autentificat. Prin urmare, solicitările API de la utilizatori neautentificați sau necunoscuți pot fi respinse instantaneu.
- Restricții de acces. Pentru căutări în bazele de date care ar putea prelua date de identificare personală (PII), cum ar fi numerele de identificare, adresele de domiciliu sau detaliile cardului de plată, serverul care acceptă solicitări de terminale API ar putea impune protecție la nivel de rețea pentru a filtra cererile care vin direct de pe internet. Prin urmare, un atacator ar trebui să compromită mai întâi un server intern și nu ar putea să caute date direct pe internet.
- Identificatori de baze de date greu de ghicit. Cu toate ca securitatea prin obscuritate (cunoscut și sub denumirea de „nu vor ghici niciodată asta”) este o bază slabă de bază pentru securitatea cibernetică, nu are rost să faci lucrurile mai ușor decât trebuie pentru escroci. Dacă propriul dvs. ID de utilizator este
00000145, și știi că un prieten care s-a înscris imediat după ce ai primit00000148, atunci este o idee bună că valorile userid valide încep de la00000001și urcă de acolo. Valorile generate aleatoriu îngreunează atacatorii care au găsit deja o lacună în controlul accesului să ruleze o buclă care încearcă din nou și din nou să recupereze identificatorii de utilizator probabil. - Limitare de rata. Orice secvență repetitivă de solicitări similare poate fi utilizată ca un potențial IoC sau indicator de compromis. Infractorii cibernetici care doresc să descarce 11,000,000 de elemente ale bazei de date, în general, nu folosesc un singur computer cu un singur număr IP pentru a face întreaga treabă, așa că atacurile de descărcare în bloc nu sunt întotdeauna imediat evidente doar din fluxurile tradiționale de rețea. Dar ele vor genera adesea modele și rate de activitate care pur și simplu nu se potrivesc cu ceea ce te-ai aștepta să vezi în viața reală.
Aparent, puține sau niciuna dintre aceste protecții au fost în vigoare în timpul atacului Optus, în special inclusiv prima...
… ceea ce înseamnă că atacatorul a putut să acceseze PII fără a fi nevoie să se identifice deloc, cu atât mai puțin să fure codul de autentificare sau cookie-ul de autentificare al unui utilizator legitim pentru a intra.
Cumva, se pare, un endpoint API cu acces la date sensibile a fost deschis internetului în general, unde a fost descoperit de un criminal cibernetic și abuzat pentru a extrage informații care ar fi trebuit să se afle în spatele unui soi de portcullis de securitate cibernetică.
De asemenea, dacă pretenția atacatorului că a preluat un total de peste 20,000,000 de înregistrări de baze de date din două baze de date este de crezut, presupunem [a] că Optus userid codurile au fost ușor de calculat sau ghicit și [b] că niciun avertisment „accesul la baze de date nu a atins niveluri neobișnuite” s-a declanșat.
Din păcate, Optus nu a fost îngrozitor de clar despre cum atacul desfășurat, spunând doar:
Î. Cum sa întâmplat asta?
A. Optus a fost victima unui atac cibernetic. […]
Î. Atacul a fost oprit?
A. Da. După ce a descoperit acest lucru, Optus a oprit imediat atacul.
Cu alte cuvinte, se pare că „închiderea atacului” a implicat închiderea lacunei împotriva intruziunilor ulterioare (de exemplu, prin blocarea accesului la punctul final API neautentificat), mai degrabă decât interceptarea atacului inițial devreme, după ce doar un număr limitat de înregistrări au fost furate. .
Bănuim că, dacă Optus ar fi detectat atacul în timp ce acesta era încă în desfășurare, compania ar fi precizat în Întrebări frecvente cât de departe au ajuns escrocii înainte ca accesul lor să fie închis.
Ce urmează?
Dar clienții ale căror numere de pașaport sau permis de conducere au fost expuse?
Cât de mult risc prezintă pentru victima unei încălcări a datelor ca aceasta pierderea unui număr de document de identitate, mai degrabă decât detalii mai complete ale documentului în sine (cum ar fi o scanare de înaltă rezoluție sau o copie certificată?
Câtă valoare de identificare ar trebui să acordăm numai numerelor de identitate, având în vedere cât de larg și de frecvent le distribuim în zilele noastre?
Potrivit guvernului australian, riscul este suficient de semnificativ pentru ca victimele încălcării să fie sfătuite să înlocuiască documentele afectate.
Și, cu probabil milioane de utilizatori afectați, doar taxele de reînnoire a documentelor ar putea ajunge la sute de milioane de dolari și ar necesita anularea și reeliberarea unei proporții semnificative din permisele de conducere ale țării.
Estimăm că aproximativ 16 milioane de australiani au licențe și sunt înclinați să le folosească drept act de identitate în Australia, în loc să-și poarte pașapoartele. Deci, dacă optusdata Posterul BreachForum spunea adevărul și aproape 4 milioane de numere de licență au fost furate, aproape 25% din toate licențele australiene ar putea avea nevoie de înlocuire. Nu știm cât de util ar putea fi acest lucru în cazul permiselor de conducere australiene, care sunt eliberate de state și teritorii individuale. În Marea Britanie, de exemplu, numărul permisului de conducere este destul de evident derivat algoritmic din numele și data nașterii, cu o cantitate foarte modestă de amestecare și doar câteva caractere aleatorii introduse. Prin urmare, o nouă licență primește un număr nou care este foarte asemănător cu cel precedent.
Cei fără licență sau vizitatorii care au cumpărat carduri SIM de la Optus pe baza unui pașaport străin, ar trebui să-și înlocuiască pașapoartele - un pașaport australian costă aproape 193 USD, un pașaport britanic este de 75 GBP până la 85 GBP și o reînnoire în SUA este de la 130 la 160 USD.
(Există și întrebarea timpilor de așteptare: Australia recomandă în prezent că pașaportul de înlocuire va dura cel puțin 6 săptămâni [2022-09-28T13:50Z], și asta fără o creștere bruscă cauzată de procesarea legată de încălcare; în Marea Britanie, din cauza restanțe existente, Guvernul Majestății Sale le spune în prezent solicitanților să acorde 10 săptămâni pentru reînnoirea pașapoartelor.)
Cine suportă costul?
Desigur, dacă se consideră necesară înlocuirea tuturor ID-urilor potențial compromise, întrebarea arzătoare este: „Cine va plăti?”
Potrivit premierului australian, Anthony Albanese, nu există nicio îndoială de unde ar trebui să provină banii pentru înlocuirea pașapoartelor:
În această după-amiază @albomp a oferit parlamentului o actualizare importantă cu privire la încălcarea securității Optus.
Nu numai că cerem ca Optus să plătească pentru pașapoartele de înlocuire pentru cei afectați de încălcare, dar ne angajăm și să ne consolidăm legile privind confidențialitatea prin revizuirea Legii privind confidențialitatea. pic.twitter.com/JyoRJxyM3p
— Clare O'Neil MP (@ClareONeilMP) 28 Septembrie, 2022
Nu există niciun cuvânt din partea legislativului federal cu privire la înlocuirea permiselor de conducere, aceasta fiind o chestiune gestionată de guvernele de stat și teritoriu...
… și nici un cuvânt despre dacă „înlocuiți toate documentele” va deveni o reacție de rutină ori de câte ori este raportată o încălcare care implică un document de identitate, lucru care ar putea cu ușurință să distrugă serviciul public, având în vedere că licențele și pașapoartele sunt de obicei așteptate să dureze 10 ani fiecare.
Urmăriți acest spațiu – acesta pare să devină interesant!
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- încălcării securității datelor
- pierderi de date
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- Optus
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- intimitate
- VPN
- securitatea site-ului
- zephyrnet
![S3 Ep91: CodeRed, OpenSSL, Java bugs and Office macros [Podcast + Transcript] PlatoBlockchain Data Intelligence. Vertical Search. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/nsp-1200-300x157.png "S3 Ep91: CodeRed, OpenSSL, erori Java și macrocomenzi Office [Podcast + Transcriere]")
![S3 Ep 126: Prețul fast-mod-ului (și al caracteristicilor) [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Prețul fast-mod-ului (și al caracteristicilor) [Audio + Text]")