Kršitev Optus – Aussie telco je sporočil, da bo moral plačati za zamenjavo ID-jev PlatoBlockchain Data Intelligence. Navpično iskanje. Ai.

Kršitev Optus – Aussie telco je sporočil, da bo moral plačati za zamenjavo ID-jev

Časovni žig: 28. september 2022 9

by
Paul Ducklin

Prejšnji teden je kibernetski vdor v avstralsko telekomunikacijsko družbo Optus, ki ima približno 10 milijonov strank, nakopal jezo državne vlade nad tem, kako naj podjetje, v katerem je prišlo do vdora, ravna z ukradenimi osebnimi podatki.

Darkweb galerija pojavil hitro po napadu, s podzemno BreachForumi uporabnik z navadnim imenom optusdata ponujajo dve seriji podatkov, pri čemer trdijo, da imajo dve podatkovni zbirki, in sicer:

  11,200,000 uporabniških zapisov z imenom, datumom rojstva, številko mobilnega telefona in ID-jem 4,232,652 zapisov je vključevalo nekakšno številko osebnega dokumenta 3,664,598 ID-jev je bilo iz vozniških dovoljenj 10,000,000 zapisov naslovov z e-pošto, datumom rojstva, ID-jem in drugim 3,817,197 je imelo številke osebnih dokumentov 3,238,014 osebnih dokumentov je bilo iz vozniških dovoljenj

Prodajalec je napisal, »Optus, če berete! Cena za nas, da ne prodamo [sic] podatkov, je 1,000,000 ameriških dolarjev! Damo vam 1 teden, da se odločite.”

Redni kupci, je dejal prodajalec, bi lahko dobili baze podatkov za 300,000 $ kot delovno mesto, če Optus v enem tednu ne bi izkoristil svoje ponudbe za "ekskluzivni dostop" v višini 1 milijona $.

Prodajalec je dejal, da pričakuje plačilo v obliki Monera, priljubljene kriptovalute, ki jo je težje izslediti kot Bitcoin.

Transakcije Monero so mešano skupaj kot del plačilnega protokola, s čimer je ekosistem Monero postal nekakšen samostojni zbiralnik kriptokovancev ali anonimizator.

Kaj se je zgodilo?

Sama kršitev podatkov je bila očitno posledica manjkajoče varnosti na tem, kar se v žargonu imenuje Končna točka API. (API je okrajšava za aplikacijski programski vmesnik, vnaprej določen način za en del aplikacije ali zbirko aplikacij, da zahteva neke vrste storitev ali pridobi podatke od drugega.)

V spletu so končne točke API-ja običajno v obliki posebnih URL-jev, ki sprožijo določeno vedenje ali vrnejo zahtevane podatke, namesto da bi preprosto služili spletni strani.

Na primer, URL všeč https://www.example.com/about lahko preprosto vrne nazaj statično spletno stran v obliki HTML, na primer:

  
    
       
About this site

       
This site is just an example, as the URL implies.

Obisk URL-ja z brskalnikom bi torej povzročil spletno stran, ki je videti, kot bi pričakovali:

Toda URL, kot je npr https://api.example.com/userdata?id=23de­6731­e9a7 lahko vrne zapis baze podatkov, ki je specifičen za določenega uporabnika, kot da bi opravili klic funkcije v programu C po vrsticah:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Ob predpostavki, da je zahtevani ID uporabnika obstajal v bazi podatkov, lahko klic enakovredne funkcije prek zahteve HTTP do končne točke povzroči odgovor v formatu JSON, kot je ta: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

V API-ju te vrste bi verjetno pričakovali, da bo na voljo več previdnostnih ukrepov za kibernetsko varnost, kot so:

  • Preverjanje pristnosti. Vsaka spletna zahteva bo morda morala vključevati glavo HTTP, ki določa naključni (neuganljivi) piškotek seje, izdan uporabniku, ki je nedavno dokazal svojo identiteto, na primer z uporabniškim imenom, geslom in kodo 2FA. Ta vrsta sejnega piškotka, ki je običajno veljaven le omejen čas, deluje kot začasna dostopna izkaznica za zahteve po iskanju, ki jih pozneje izvede vnaprej overjen uporabnik. Zahteve API-ja nepreverjenih ali neznanih uporabnikov je zato mogoče takoj zavrniti.
  • Omejitve dostopa. Za iskanje v bazi podatkov, ki bi lahko pridobilo podatke, ki omogočajo osebno identifikacijo (PII), kot so ID številke, domači naslovi ali podrobnosti o plačilni kartici, lahko strežnik, ki sprejema zahteve končne točke API-ja, uvede zaščito na omrežni ravni za filtriranje zahtev, ki prihajajo neposredno iz interneta. Napadalec bi torej moral najprej ogroziti notranji strežnik in ne bi mogel iskati podatkov neposredno prek interneta.
  • Identifikatorji baze podatkov, ki jih je težko uganiti. Čeprav varnost z nejasnostjo (znan tudi kot »tega ne bodo nikoli uganili«) je slaba temeljna osnova za kibernetsko varnost, zato nima smisla, da bi prevarantom olajšali stvari, kot bi morali. Če je vaš ID uporabnika 00000145, in veš, da je prijatelj, ki se je prijavil takoj zatem, ko si dobil 00000148, potem je dobro ugibati, da se veljavne vrednosti ID-ja uporabnika začnejo pri 00000001 in pojdi od tam gor. Naključno ustvarjene vrednosti otežujejo napadalcem, ki so že našli vrzel v vašem nadzoru dostopa, zagon zanke, ki znova in znova poskuša pridobiti verjetne ID-je uporabnikov.
  • Omejitev stopnje. Vsako ponavljajoče se zaporedje podobnih zahtev se lahko uporabi kot potencialni IoC ali indikator kompromisa. Kibernetski kriminalci, ki želijo prenesti 11,000,000 elementov zbirke podatkov, običajno ne uporabljajo enega samega računalnika z eno samo številko IP, da bi opravili celotno delo, zato napadi množičnega prenosa niso vedno takoj očitni samo iz tradicionalnih omrežnih tokov. Vendar bodo pogosto ustvarili vzorce in stopnje dejavnosti, ki se preprosto ne ujemajo s tistim, kar bi pričakovali v resničnem življenju.

Očitno je bilo med napadom Optus vzpostavljenih malo ali nobena od teh zaščit, zlasti prva ...

… kar pomeni, da je napadalec lahko dostopal do osebno določljivih podatkov, ne da bi se sploh moral identificirati, kaj šele, da bi ukradel zakonito uporabniško kodo za prijavo ali piškotek za preverjanje pristnosti, da bi vstopil.

Nekako se zdi, da je bila končna točka API z dostopom do občutljivih podatkov odprta za internet na splošno, kjer jo je odkril kibernetski kriminalec in zlorabil za pridobivanje informacij, ki bi morale biti v ozadju neke vrste portala kibernetske varnosti.

Poleg tega, če gre verjeti napadalčevi trditvi, da je pridobil skupaj več kot 20,000,000 zapisov baze podatkov iz dveh baz podatkov, predpostavljamo [a], da je Optus userid kode so bile enostavno izračunane ali uganjene in [b] opozorilo, da "dostop do baze podatkov ni dosegel neobičajnih ravni", je izginilo.

Na žalost Optus ni bil zelo jasen glede tega, kako napad se je razvil, rekoč le:

Q. Kako se je to zgodilo?

A. Optus je bil žrtev kibernetskega napada. […]

V. Ali je bil napad ustavljen?

A. Da. Ko je to odkril, je Optus takoj zaustavil napad.

Z drugimi besedami, videti je, kot da je "zaustavitev napada" vključevala zapiranje vrzeli pred nadaljnjimi vdori (npr. z blokiranjem dostopa do nepreverjene končne točke API) namesto prestrezanja začetnega napada zgodaj, potem ko je bilo ukradeno le omejeno število zapisov .

Sumimo, da če bi Optus zaznal napad, medtem ko je še potekal, bi podjetje v svojih pogostih vprašanjih navedlo, kako daleč so prevaranti prišli, preden jim je bil dostop zaprt.

Kaj je naslednje?

Kaj pa stranke, katerih številke potnega lista ali vozniškega dovoljenja so bile razkrite?

Kakšno tveganje predstavlja uhajanje številke osebnega dokumenta namesto popolnejših podrobnosti o samem dokumentu (kot je skeniranje v visoki ločljivosti ali overjena kopija) za žrtev kršitve podatkov, kot je ta?

Koliko identifikacijske vrednosti bi morali pripisati samo identifikacijskim številkam, glede na to, kako pogosto in pogosto jih delimo v današnjem času?

Po mnenju avstralske vlade je tveganje dovolj veliko, da se žrtvam kršitve svetuje, naj zamenjajo prizadete dokumente.

Z morebitnimi milijoni prizadetih uporabnikov bi lahko samo stroški podaljšanja dokumentov znašali stotine milijonov dolarjev in zahtevali preklic in ponovno izdajo znatnega deleža vozniških dovoljenj v državi.

Ocenjujemo, da ima dovoljenja približno 16 milijonov Avstralcev in jih raje uporabljajo kot osebno izkaznico v Avstraliji, namesto da bi nosili svoje potne liste. Torej, če optusdata Plakat BreachForum je govoril resnico in ukradenih je bilo skoraj 4 milijone številk licenc, skoraj 25 % vseh avstralskih licenc bi bilo treba zamenjati. Ne vemo, kako uporabno bi bilo to dejansko v primeru avstralskih vozniških dovoljenj, ki jih izdajo posamezne države in ozemlja. V Združenem kraljestvu je na primer številka vašega vozniškega dovoljenja povsem očitno algoritemsko izpeljana iz vašega imena in datuma rojstva, z zelo skromno količino mešanja in vstavljenih le nekaj naključnih znakov. Nova licenca torej dobi novo številko, ki je zelo podobna prejšnji.

Tisti brez licenc ali obiskovalci, ki so kupili kartice SIM pri Optusu na podlagi tujega potnega lista, bi morali namesto tega zamenjati svoje potne liste – zamenjava avstralskega potnega lista stane skoraj 193 avstralskih dolarjev, potni list Združenega kraljestva je od 75 do 85 funtov in podaljšanje v ZDA znaša od 130 do 160 dolarjev.

(Obstaja tudi vprašanje čakalnih dob: Avstralija trenutno svetuje, da bo nadomestni potni list trajal vsaj 6 tednov [2022-09-28T13:50Z], in to brez nenadnega porasta zaradi obdelave, povezane s kršitvijo; v Združenem kraljestvu zaradi obstoječe zaostanke, vlada njegovega veličanstva prosilcem trenutno sporoča, naj pustijo 10 tednov za podaljšanje potnega lista.)

Kdo nosi stroške?

Seveda, če je zamenjava vseh potencialno ogroženih ID-jev potrebna, je pereče vprašanje, "Kdo bo plačal?"

Po besedah ​​avstralskega premierja Anthonyja Albaneseja ni dvoma, od kod naj pride denar za zamenjavo potnih listov:

Zvezni zakonodajalec ni sporočil o zamenjavi vozniških dovoljenj, saj to zadevo obravnavajo vlade držav in ozemelj ...

...in nobene besede o tem, ali bo "zamenjava vseh dokumentov" postala rutinska reakcija vsakič, ko bo prijavljena kršitev v zvezi z osebnim dokumentom, nekaj, kar bi lahko zlahka preplavilo javno službo, glede na to, da se običajno pričakuje, da bodo licence in potni listi trajali 10 let.

Oglejte si ta prostor – videti je, da bo postalo zanimivo!

Časovni žig:

Več od Gola varnost