Avstralski telekomunikacijski velikan Optus naj bi prejemal pomoč FBI pri preiskavi, za katero se zdi, da je bila kršitev, ki jo je bilo mogoče zlahka preprečiti in je na koncu razkrila občutljive podatke o skoraj 10 milijonih strank.
Medtem je očitni heker ali hekerji, ki stojijo za kršitvijo, v torek umaknili svojo zahtevo po odkupnini v višini 1 milijona dolarjev skupaj z grožnjo, da bodo izdali serije ukradenih podatkov, dokler odkupnina ne bo plačana. Igralec grožnje je tudi trdil, da je izbrisal vse podatke, ukradene iz Optusa. Očitna sprememba srca pa je prišla po tem, ko je napadalec že prej objavil vzorec približno 10,200 zapisov strank, navidezno kot dokaz namere.
Pomisleki
Razlog napadalca za umik zahteve po odkupnini in grožnja uhajanja podatkov ostajata nejasna. Toda v izjavi, objavljeni na temnem spletnem forumu - in ponovno objavljen na databreaches.net — domnevni napadalec je namigoval na "preveč oči", ki vidijo podatke kot enega od razlogov. "Podatkov ne bomo prodali nikomur," je pisalo sporočilo. »Ne moremo, če sploh želimo: osebno izbrisani podatki iz pogona (Samo kopiraj).«
Napadalec se je tudi opravičil Optusu in 10,200 strankam, katerih podatki so pricurljali: »Avstralija v goljufijah ne bo imela koristi, to je mogoče spremljati. Morda za 10,200 avstralskih prebivalcev, a ostalo prebivalstvo št. Zelo mi je žal.”
Opravičilo in napadalčeve trditve, da je izbrisal ukradene podatke, verjetno ne bodo ublažile skrbi glede napada, ki je bil opisan kot največja kršitev v Avstraliji doslej.
Optus prvič razkril kršitev 21. sept, in v nizu posodobitev od takrat opisal, da vpliva na sedanje in prejšnje stranke širokopasovnih, mobilnih in poslovnih strank podjetja od leta 2017 naprej. Po navedbah podjetja je kršitev morda razkrila imena strank, datume rojstva, telefonske številke, e-poštne naslove in – za podmnožico strank – njihove polne naslove, podatke o vozniškem dovoljenju ali številke potnih listov.
Optus varnostne prakse pod mikroskopom
Kršitev je povzročila zaskrbljenost zaradi razširjene goljufije z identiteto in spodbudila Optus, da – med drugimi ukrepi – sodeluje z različnimi vladami avstralskih zveznih držav, da bi razpravljali o možnosti spreminjanja podatkov o vozniških dovoljenjih prizadetih posameznikov na stroške podjetja. »Ko stopimo v stik, bomo na vaš račun nakazali dobropis za kritje morebitnih ustreznih stroškov zamenjave. To bomo storili samodejno, tako da vam ni treba kontaktirati nas,« so Optus obvestili stranke. "Če se ne oglasimo, to pomeni, da vašega vozniškega dovoljenja ni treba zamenjati."
Kompromis podatkov je varnostne prakse Optus postavil v središče pozornosti, zlasti zato, ker se zdi, da je posledica temeljne napake. Avstralska radiodifuzna družba (ABC) 22. sept citiral neidentificirano »višjo osebnost” znotraj Optusa, ki pravi, da je napadalec v bistvu lahko dostopal do podatkovne baze prek nepreverjenega vmesnika za programiranje aplikacij (API).
Insajder naj bi za ABC povedal, da je bila baza podatkov o identiteti strank v živo, do katere je napadalec dostopal, povezana prek nezaščitenega API-ja z internetom. Predpostavka je bila, da bodo samo pooblaščeni sistemi Optus uporabljali API. Toda nekako se je končalo tako, da je bilo izpostavljeno testnemu omrežju, ki je bilo po naključju neposredno povezano z internetom, je ABC citiral insajderja.
ABC in drugi mediji so izvršno direktorico Optusa Kelly Bayer Rosmarin opisali kot vztrajajočo, da je bilo podjetje žrtev prefinjenega napada in da so bili podatki, do katerih je napadalec trdil, da je dostopal, šifrirani.
Če je poročilo o razkritem API-ju resnično, je bil Optus žrtev varnostne napake, ki jo delajo mnogi drugi. »Pokvarjena avtentikacija uporabnika je ena najpogostejših ranljivosti API-ja,« pravi Adam Fisher, arhitekt rešitev pri Salt Security. "Napadalci jih najprej iščejo, ker API-ji, ki niso preverjeni, ne poskušajo vdreti."
Odprti ali nepreverjeni API-ji so pogosto posledica tega, da infrastrukturna ekipa ali ekipa, ki upravlja preverjanje pristnosti, nekaj napačno konfigurira, pravi. »Ker za izvajanje aplikacije potrebuje več kot ena ekipa, pogosto pride do napačne komunikacije,« pravi Fisher. Opozarja, da neoverjeni API-ji zasedajo drugo mesto na OWASP-jevem seznamu 10 največjih varnostnih ranljivosti API-jev.
Poročilo, ki ga je naročila družba Imperva v začetku tega leta, je opredelilo ameriška podjetja med 12 milijard dolarjev in 23 milijard dolarjev izgube zaradi kompromisov, povezanih z API-ji šele leta 2022. Druga raziskava, ki temelji na raziskavi, ki jo je Cloudentity izvedel lani, je ugotovila 44 % anketirancev pravi, da je njihova organizacija doživela uhajanje podatkov in druge težave, ki izhajajo iz varnostnih pomanjkljivosti API-ja.
"Prestrašeni" napadalec?
FBI se ni nemudoma odzval na zahtevo Dark Readinga za komentar prek elektronskega naslova nacionalne tiskovne službe, vendar je Guardian
in drugi so poročali, da so ameriški organi kazenskega pregona poklicali pomoč pri preiskavi. The Avstralska zvezna policija, ki preiskuje kršitev Optusa, je dejal, da sodeluje s čezmorskimi organi pregona, da bi izsledil posameznika ali skupino, ki je odgovorna za to.
Casey Ellis, ustanovitelj in tehnični direktor podjetja za nagrajevanje hroščev Bugcrowd, pravi, da je napadalca morda prestrašil intenziven nadzor, ki so ga avstralska vlada, javnost in organi pregona prevzeli nad kršitvijo. "Precej redko je, da je ta vrsta interakcije tako spektakularna, kot je bila ta," pravi. "Ogrožanje skoraj polovice prebivalstva države bo pritegnilo veliko zelo intenzivne in zelo močne pozornosti in tukaj vpleteni napadalci so to očitno podcenili."
Njihov odgovor kaže, da so akterji groženj zelo mladi in verjetno zelo novi v kriminalnem ravnanju, vsaj v tem obsegu, ugotavlja.
"Jasno je, da je avstralska vlada to kršitev vzela zelo resno in napadalcu pohlepno sledi," dodaja Fisher. »Ta močan odziv je morda napadalca ujel nepripravljenega« in verjetno spodbudil k premisleku. »Vendar so podatki na žalost že v javnosti. Ko se podjetje enkrat znajde v takšnih novicah, je vsak heker pozoren.”
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
