Den australiensiska telekommunikationsjätten Optus ska ha fått hjälp från FBI med att utreda vad som verkar ha varit ett lätt förebyggbart intrång som slutade med att känsliga uppgifter avslöjades på nästan 10 miljoner kunder.
Samtidigt drog den uppenbara hackaren eller hackarna bakom intrånget på tisdagen tillbaka sitt krav på en lösensumma på 1 miljon dollar tillsammans med ett hot om att släppa partier av stulna data tills lösensumman var betald. Hotaktören hävdade också att han eller hon raderade all data som stulits från Optus. Den uppenbara förändringen i hjärtat kom dock efter att angriparen redan tidigare hade släppt ett prov på cirka 10,200 XNUMX kundregister, till synes som bevis på avsikt.
Andra tankar
Angriparens anledning till att dra tillbaka kravet på lösen och hotet om dataläckage är fortfarande oklart. Men i ett uttalande publicerat på ett Dark Web-forum — och publiceras på nytt på databreaches.net — den påstådda angriparen antydde att "för många ögon" såg uppgifterna som en orsak. "Vi kommer inte att sälja data till någon", stod det i anteckningen. "Vi kan inte om vi ens vill: personligen raderade data från enheten (endast kopiera)."
Angriparen bad också om ursäkt till Optus och till de 10,200 10,200 kunder vars data läckte: "Australien kommer inte att se någon vinst i bedrägeri, detta kan övervakas. Kanske för XNUMX XNUMX australiensiska men resten av befolkningen nej. Mycket ledsen för dig."
Ursäkten och angriparens påståenden om att radera de stulna uppgifterna kommer sannolikt inte att dämpa oro kring attacken, som har beskrivits som Australiens största intrång någonsin.
Optus avslöjade först överträdelsen den 21 september, och har i en serie uppdateringar sedan dess beskrivit det som att det påverkar nuvarande och tidigare kunder hos företagets bredbands-, mobil- och företagskunder från 2017 och framåt. Enligt företaget kan intrånget potentiellt ha avslöjat kundnamn, födelsedatum, telefonnummer, e-postadresser och - för en undergrupp av kunder - deras fullständiga adresser, körkortsinformation eller passnummer.
Optus säkerhetspraxis under mikroskopet
Intrånget har väckt oro för omfattande identitetsbedrägerier och drivit Optus till – bland andra åtgärder – att arbeta med olika australiska delstatsregeringar för att diskutera potentialen för att ändra körkortsdetaljer för drabbade individer på företagets bekostnad. "När vi kontaktar oss kommer vi att placera en kredit på ditt konto för att täcka eventuella relevanta ersättningskostnader. Vi gör detta automatiskt, så du behöver inte kontakta oss”, informerade Optus kunder. "Om du inte hör från oss betyder det att ditt körkort inte behöver bytas."
Datakompromissen har satt Optus säkerhetspraxis rakt i rampljuset, särskilt eftersom det verkar ha varit ett resultat av ett grundläggande fel. Australian Broadcasting Corporation (ABC) den 22 september citerade en oidentifierad ”seniorfigur” inom Optus som att angriparen i princip kunde komma åt databasen via ett oautentiserat applikationsprogrammeringsgränssnitt (API).
Insidern ska ha berättat för ABC att den levande kundidentitetsdatabasen som angriparen kom åt var ansluten via ett oskyddat API till Internet. Antagandet var att endast auktoriserade Optus-system skulle använda API:n. Men det slutade på något sätt med att den exponerades för ett testnätverk, som råkade vara direkt anslutet till Internet, citerade ABC insidern som sa.
ABC och andra medier beskrev Optus vd Kelly Bayer Rosmarin som att de insisterade på att företaget var offer för en sofistikerad attack och att den data som angriparen påstod sig ha tillgång till var krypterad.
Om rapporten om det exponerade API:t stämmer, blev Optus offer för ett säkerhetsmisstag som många andra gör. "Bruten användarautentisering är en av de vanligaste API-sårbarheterna", säger Adam Fisher, lösningsarkitekt på Salt Security. "Angripare letar efter dem först eftersom oautentiserade API:er inte tar några ansträngningar för att bryta."
Öppna eller oautentiserade API:er är ofta resultatet av att infrastrukturteamet, eller teamet som hanterar autentisering, har felkonfigurerat något, säger han. "Eftersom det krävs mer än ett team för att köra en applikation uppstår det ofta felkommunikation", säger Fisher. Han noterar att oautentiserade API:er upptar den andra platsen i OWASP:s lista över de 10 bästa API-säkerhetssårbarheterna.
En rapport beställd av Imperva tidigare i år identifierade amerikanska företag som drabbade mellan $12 miljarder och $23 miljarder i förluster från API-kopplade kompromisser bara 2022. En annan undersökningsbaserad studie som Cloudentity genomförde förra året fann 44 % av de tillfrågade sa att deras organisation hade upplevt dataläckage och andra problem som härrör från API-säkerhetsbortfall.
"Skräckt" anfallare?
FBI svarade inte omedelbart på en Dark Reading-förfrågan om kommentar via dess nationella presskontors e-postadress, men väktare
och andra rapporterade att den amerikanska brottsbekämpande myndigheten kallades in för att hjälpa till med utredningen. De Australiensisk federal polis, som undersöker Optus-överträdelsen, sa att det arbetade med utländska brottsbekämpande myndigheter för att spåra individen eller gruppen som är ansvarig för det.
Casey Ellis, grundare och CTO för bug-bounty-företaget Bugcrowd, säger att den intensiva granskning som intrånget har fått från den australiska regeringen, allmänheten och brottsbekämpande myndigheter kan ha skrämt angriparen. "Det är ganska sällsynt att den här typen av interaktion är så spektakulär som den här har varit", säger han. "Att kompromissa med nästan hälften av befolkningen i ett land kommer att få mycket intensiv och mycket kraftfull uppmärksamhet, och angriparna som är inblandade här underskattade klart detta."
Deras svar tyder på att hotaktörerna är mycket unga och sannolikt mycket nya i kriminellt beteende, åtminstone av denna skala, noterar han.
"Det är uppenbart att den australiensiska regeringen har tagit detta intrång på största allvar och jagar glupskt efter angriparen," tillägger Fisher. "Denna starka reaktion kan ha fångat angriparen," och förmodligen väckt andra tankar. "Men tyvärr är uppgifterna redan ute i det fria. När ett företag väl hamnar i nyheterna som denna, uppmärksammar varje hackare.”
