Кибервторжение на прошлой неделе в австралийскую телеком-компанию Optus, у которой около 10 миллионов клиентов, вызвало гнев правительства страны по поводу того, как взломанная компания должна поступать с украденными идентификационными данными.
Darkweb скриншоты всплыли быстро после нападения, с подземным BreachФорумы пользователь под простым именем optusdata предлагая два транша данных, утверждая, что у них есть две базы данных следующим образом:
11,200,000 4,232,652 3,664,598 пользовательских записей с именем, датой рождения, номером мобильного телефона и удостоверением личности 10,000,000 3,817,197 3,238,014 записи включали какой-либо номер удостоверения личности XNUMX XNUMX XNUMX удостоверений личности были получены из водительских прав удостоверений личности были из водительских прав
Продавец написал, «Оптус, если ты читаешь! Цена для нас, чтобы не продавать [sic] данные, составляет 1,000,000 1 XNUMX долларов США! Мы даем вам XNUMX неделю, чтобы принять решение».
По словам продавца, постоянные покупатели могут получить базы данных за 300,000 1 долларов в качестве лота, если Optus не воспользуется своим предложением «эксклюзивного доступа» за XNUMX миллион долларов в течение недели.
Продавец сказал, что ожидает оплату в виде Monero, популярной криптовалюты, которую труднее отследить, чем биткойн.
Транзакции Монеро смешанные вместе как часть платежного протокола, превращая экосистему Monero в своего рода тумблер криптовалюты или анонимайзер.
Что случилось?
Сама утечка данных, по-видимому, была связана с отсутствием безопасности в том, что на жаргоне называется Конечная точка API. (API — это сокращение от интерфейс прикладного программирования, предопределенный способ для одной части приложения или набора приложений запрашивать какую-либо службу или извлекать данные из другой части.)
В Интернете конечные точки API обычно принимают форму специальных URL-адресов, которые вызывают определенное поведение или возвращают запрошенные данные, а не просто обслуживают веб-страницу.
Например, такой URL-адрес, как https://www.example.com/about может просто вернуть статическую веб-страницу в HTML-форме, например:
About this site
This site is just an example, as the URL implies.
Таким образом, посещение URL-адреса с помощью браузера приведет к тому, что веб-страница будет выглядеть так, как вы ожидаете:
Но URL-адрес, такой как https://api.example.com/userdata?id=23de6731e9a7 может вернуть запись базы данных, относящуюся к указанному пользователю, как если бы вы выполнили вызов функции в программе C в соответствии со строками:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
Предполагая, что запрошенный идентификатор пользователя существует в базе данных, вызов эквивалентной функции через HTTP-запрос к конечной точке может привести к ответу в формате JSON, например:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
В API такого рода вы, вероятно, ожидаете, что будут приняты некоторые меры предосторожности в отношении кибербезопасности, такие как:
- Аутентификация. В каждый веб-запрос может потребоваться включить HTTP-заголовок, указывающий случайный (неугадываемый) файл cookie сеанса, выданный пользователю, который недавно подтвердил свою личность, например, с помощью имени пользователя, пароля и кода 2FA. Этот тип файла cookie сеанса, обычно действительный только в течение ограниченного времени, действует как временный пропуск доступа для запросов поиска, впоследствии выполняемых пользователем, прошедшим предварительную проверку подлинности. Таким образом, запросы API от неавторизованных или неизвестных пользователей могут быть немедленно отклонены.
- Ограничения доступа. При поиске в базе данных, который может извлекать данные, позволяющие установить личность (PII), такие как идентификационные номера, домашние адреса или данные платежной карты, сервер, принимающий запросы конечных точек API, может применять защиту на уровне сети для фильтрации запросов, поступающих непосредственно из Интернета. Поэтому злоумышленнику необходимо сначала скомпрометировать внутренний сервер, и он не сможет исследовать данные напрямую через Интернет.
- Трудно угадываемые идентификаторы базы данных. Несмотря на то, что безопасность через неизвестность (также известное как «они никогда об этом не догадаются») — плохая базовая основа для кибербезопасности, нет смысла упрощать жизнь мошенникам. Если ваш собственный идентификатор пользователя
00000145, и вы знаете, что друг, который зарегистрировался сразу после того, как вы получили00000148, то можно предположить, что действительные значения идентификатора пользователя начинаются с00000001и подняться оттуда. Случайно сгенерированные значения затрудняют злоумышленникам, которые уже нашли лазейку в вашем контроле доступа, запуск цикла, который снова и снова пытается получить вероятные идентификаторы пользователей. - Ограничение скорости. Любая повторяющаяся последовательность похожих запросов может быть использована как потенциальный IoC или индикатор компрометации. Киберпреступники, которые хотят загрузить 11,000,000 XNUMX XNUMX элементов базы данных, обычно не используют один компьютер с одним IP-номером для выполнения всей работы, поэтому атаки с массовой загрузкой не всегда сразу очевидны только из традиционных сетевых потоков. Но они часто будут генерировать шаблоны и темпы активности, которые просто не соответствуют тому, что вы ожидаете увидеть в реальной жизни.
Судя по всему, во время атаки Оптуса таких средств защиты было мало или вообще не было, особенно в том числе первое…
… это означает, что злоумышленник смог получить доступ к PII без необходимости идентифицировать себя вообще, не говоря уже о том, чтобы украсть код входа законного пользователя или файл cookie аутентификации, чтобы войти.
Каким-то образом конечная точка API с доступом к конфиденциальным данным была открыта для Интернета в целом, где она была обнаружена киберпреступником и использовалась для извлечения информации, которая должна была быть за своего рода решеткой кибербезопасности.
Кроме того, если верить заявлению злоумышленника о том, что он получил в общей сложности более 20,000,000 XNUMX XNUMX записей из двух баз данных, мы предполагаем [a], что Optus userid коды легко вычислялись или угадывались, и [b] никаких предупреждений о том, что доступ к базе данных достиг необычного уровня, не срабатывало.
К сожалению, Optus не очень ясно выразился о том, как атака развернута, говоря просто:
В. Как это произошло?
А. Оптус стал жертвой кибератаки. […]
В. Атака остановлена?
А. Да. Обнаружив это, Оптус немедленно остановил атаку.
Другими словами, похоже, что «остановка атаки» включала в себя закрытие лазейки для дальнейшего вторжения (например, путем блокировки доступа к неаутентифицированной конечной точке API), а не перехват первоначальной атаки на раннем этапе после того, как было украдено лишь ограниченное количество записей. .
Мы подозреваем, что если бы Optus обнаружил атаку, когда она еще не началась, компания указала бы в своем FAQ, как далеко продвинулись мошенники, прежде чем их доступ был закрыт.
Что дальше?
Как насчет клиентов, чьи номера паспортов или водительских прав были раскрыты?
Насколько велик риск утечки номера документа, удостоверяющего личность, а не более полной информации о самом документе (например, отсканированной копии с высоким разрешением или заверенной копии) для жертвы утечки данных?
Какое значение для идентификации мы должны придавать одним только идентификационным номерам, учитывая, как широко и часто мы делимся ими в наши дни?
По данным правительства Австралии, риск настолько значителен, что жертвам взломов рекомендуется заменить поврежденные документы.
И, возможно, с миллионами затронутых пользователей, одни только сборы за продление документов могут достигать сотен миллионов долларов и требуют аннулирования и переоформления значительной части водительских прав в стране.
По нашим оценкам, около 16 миллионов австралийцев имеют лицензии и склонны использовать их в качестве удостоверения личности в Австралии вместо того, чтобы носить с собой паспорта. Итак, если optusdata Плакат BreachForum говорил правду, и было украдено около 4 миллионов номеров лицензий, около 25% всех австралийских лицензий могут нуждаться в замене. Мы не знаем, насколько это может быть полезно в случае австралийских водительских прав, которые выдаются отдельными штатами и территориями. В Великобритании, например, номер вашего водительского удостоверения совершенно очевидно получается алгоритмическим путем из вашего имени и даты рождения, с очень скромным количеством перетасовки и всего несколькими случайными вставками символов. Таким образом, новая лицензия получает новый номер, который очень похож на предыдущий.
Тем, у кого нет лицензий, или посетителям, которые купили SIM-карты у Optus на основании заграничного паспорта, вместо этого необходимо будет заменить свои паспорта — замена австралийского паспорта стоит около 193 австралийских долларов, паспорт Великобритании — от 75 до 85 фунтов стерлингов, а продление в США стоит от 130 до 160 долларов.
(Есть также вопрос времени ожидания: Австралия в настоящее время сообщает, что замена паспорта займет не менее 6 недель [2022-09-28T13:50Z], и это без внезапного скачка, вызванного обработкой, связанной с нарушением; в Великобритании из-за существующих задержек, правительство Его Величества в настоящее время говорит заявителям предоставить 10 недель для продления паспорта.)
Кто несет расходы?
Конечно, если замена всех потенциально скомпрометированных идентификаторов считается необходимой, возникает животрепещущий вопрос: «Кто заплатит?»
По словам премьер-министра Австралии Энтони Альбанезе, нет сомнений, откуда взять деньги на замену паспортов:
Сегодня днем @albomp предоставил парламенту важную информацию о взломе системы безопасности Optus.
Мы не только требуем от Optus оплаты за замену паспортов для тех, кто пострадал от нарушения, но также стремимся усилить наши законы о конфиденциальности путем пересмотра Закона о конфиденциальности. pic.twitter.com/JyoRJxyM3p
— Клэр О'Нил, член парламента (@ClareONeilMP) 28 сентября, 2022
Федеральный законодательный орган ничего не сообщает о замене водительских прав, поскольку этот вопрос находится в ведении правительств штатов и территорий…
…и ни слова о том, станет ли «замена всех документов» обычной реакцией всякий раз, когда сообщается о взломе, связанном с документом, удостоверяющим личность, что может легко затопить государственную службу, учитывая, что срок действия лицензий и паспортов обычно составляет 10 лет.
Следите за этим пространством — похоже, оно станет интересным!
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Данные нарушения
- Потеря данных
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- Голая Безопасность
- НексБЛОК
- Optus
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- политикой конфиденциальности.
- VPN
- безопасности веб-сайтов
- зефирнет
![S3 Ep91: CodeRed, OpenSSL, ошибки Java и макросы Office [Подкаст + стенограмма] PlatoBlockchain Data Intelligence. Вертикальный поиск. Ай.](https://platoblockchain.com/wp-content/uploads/2022/07/nsp-1200-300x157.png "S3 Ep91: CodeRed, OpenSSL, ошибки Java и макросы Office [подкаст + стенограмма]")
![С3, эпизод 126: Цена быстрой моды (и ползучесть функций) [Аудио + Текст]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "С3, эпизод 126: Цена быстрой моды (и ползучесть функций) [Аудио + Текст]")