Optus-brott – Aussie telco sa att det kommer att behöva betala för att ersätta ID PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.

Optus-brott – Aussie telco sa att det kommer att behöva betala för att ersätta ID

Tidsstämpel: 28 september, 2022 9:55

by
Paul Ducklin

Förra veckans cyberintrång hos det australiensiska telebolaget Optus, som har cirka 10 miljoner kunder, har väckt ilska hos landets regering över hur det kränkta företaget ska hantera stulna ID-uppgifter.

mörkt nät skärmdumpar dök upp snabbt efter attacken, med en underjordisk Brottsforum användare som går under det klarspråkiga namnet optusdata erbjöd två trancher av data och påstod att de hade två databaser enligt följande:

  11,200,000 4,232,652 3,664,598 användarregister med namn, födelsedatum, mobilnummer och ID 10,000,000 3,817,197 3,238,014 register inkluderade någon sorts ID-handling nummer XNUMX XNUMX XNUMX av ID:n var från körkort XNUMX XNUMX XNUMX adressregister med e-post, födelsedatum, ID med flera XNUMX hade ID-nummer XNUMX av legitimationerna var från körkort

Säljaren skrev, "Optus om du läser! Priset för att vi inte säljer [sic] data är 1,000,000 1 XNUMX$US! Vi ger dig XNUMX vecka på dig att bestämma dig.”

Vanliga köpare, sa säljaren, skulle kunna ha databaserna för $300,000 1 som en jobblott, om Optus inte tog upp sitt erbjudande om "exklusiv tillgång" på $XNUMX miljon inom veckan.

Säljaren sa att de förväntade sig betalning i form av Monero, en populär kryptovaluta som är svårare att spåra än Bitcoin.

Monero transaktioner är blandade ihop som en del av betalningsprotokollet, vilket gör Monero-ekosystemet till en sorts kryptomynttumlare eller anonymiserare i sig.

Vad hände?

Själva dataintrånget berodde tydligen på att det saknades säkerhet på vad som i jargongen kallas en API-slutpunkt. (API är en förkortning av applikationsprogrammeringsgränssnitt, ett fördefinierat sätt för en del av en app, eller samling av appar, att begära någon form av tjänst eller hämta data från en annan.)

På webben tar API-slutpunkter normalt formen av speciella webbadresser som utlöser specifikt beteende, eller returnerar begärd data, istället för att bara tillhandahålla en webbsida.

Till exempel en URL som https://www.example.com/about kan helt enkelt återkoppla en statisk webbsida i HTML-form, till exempel:

  
    
       
About this site

       
This site is just an example, as the URL implies.

Att besöka webbadressen med en webbläsare skulle därför resultera i en webbsida som ser ut som du förväntar dig:

Men en URL som t.ex https://api.example.com/userdata?id=23de­6731­e9a7 kan returnera en databaspost som är specifik för den angivna användaren, som om du hade gjort ett funktionsanrop i ett C-program i stil med:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Förutsatt att det begärda användar-ID:t fanns i databasen, kan anrop av motsvarande funktion via en HTTP-begäran till slutpunkten producera ett svar i JSON-format, så här: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

I ett API av det här slaget skulle du förmodligen förvänta dig att flera försiktighetsåtgärder för cybersäkerhet finns på plats, till exempel:

  • Autentisering. Varje webbförfrågan kan behöva inkludera en HTTP-rubrik som anger en slumpmässig (otänkbar) sessionscookie som utfärdats till en användare som nyligen hade bevisat sin identitet, till exempel med ett användarnamn, lösenord och 2FA-kod. Denna typ av sessionscookie, vanligtvis endast giltig under en begränsad tid, fungerar som ett tillfälligt åtkomstpass för uppslagningsförfrågningar som sedan utförs av den förautentiserade användaren. API-förfrågningar från oautentiserade eller okända användare kan därför omedelbart avvisas.
  • Åtkomstbegränsningar. För databassökningar som kan hämta personligt identifierbar data (PII) såsom ID-nummer, hemadresser eller betalkortsdetaljer, kan servern som accepterar API-slutpunktsbegäranden införa skydd på nätverksnivå för att filtrera bort förfrågningar som kommer direkt från internet. En angripare skulle därför behöva kompromissa med en intern server först och skulle inte kunna söka efter data direkt över internet.
  • Svårt att gissa databasidentifierare. Även säkerhet genom otydlighet (även känd som "de kommer aldrig gissa det") är en dålig underliggande grund för cybersäkerhet, det är ingen idé att göra saker enklare än vad du måste för skurkarna. Om ditt eget användar-id är 00000145, och du vet att en vän som registrerade sig precis efter att du fick 00000148, då är det en bra gissning att giltiga användarid-värden börjar på 00000001 och gå upp därifrån. Slumpmässigt genererade värden gör det svårare för angripare som redan har hittat ett kryphål i din åtkomstkontroll att köra en loop som om och om igen försöker hämta troliga användarid.
  • Prisbegränsande. Vilken som helst upprepad sekvens av liknande förfrågningar kan användas som en potentiell IoC, eller indikator på kompromiss. Cyberkriminella som vill ladda ner 11,000,000 XNUMX XNUMX databasobjekt använder i allmänhet inte en enda dator med ett enda IP-nummer för att göra hela jobbet, så massnedladdningsattacker är inte alltid direkt uppenbara bara från traditionella nätverksflöden. Men de kommer ofta att generera mönster och aktivitetshastigheter som helt enkelt inte matchar vad du förväntar dig att se i verkligheten.

Uppenbarligen var få eller inga av dessa skydd på plats under Optus-attacken, särskilt inklusive det första ...

…vilket betyder att angriparen kunde komma åt PII utan att behöva identifiera sig alls, än mindre att stjäla en legitim användares inloggningskod eller autentiseringscookie för att komma in.

På något sätt, verkar det som, en API-slutpunkt med tillgång till känslig data öppnades för internet i stort, där den upptäcktes av en cyberbrottsling och missbrukades för att extrahera information som borde ha legat bakom någon sorts cybersäkerhetsportcullis.

Dessutom, om angriparens påstående att ha hämtat sammanlagt mer än 20,000,000 XNUMX XNUMX databasposter från två databaser är att tro, antar vi [a] att Optus userid koder var lätta att beräkna eller gissa, och [b] att ingen "databasåtkomst har nått ovanliga nivåer" varningar gick ut.

Tyvärr har Optus inte varit särskilt tydlig med hur attacken utspelade sig, säger bara:

F. Hur hände detta?

A. Optus blev offer för en cyberattack. […]

F. Har attacken stoppats?

A. Ja. När Optus upptäckte detta avbröt attacken omedelbart.

Med andra ord, det ser ut som att "avstängning av attacken" innebar att kryphålet täpptes till mot ytterligare intrång (t.ex. genom att blockera åtkomst till den oautentiserade API-slutpunkten) snarare än att avlyssna den initiala attacken tidigt efter att endast ett begränsat antal poster hade stulits .

Vi misstänker att om Optus hade upptäckt attacken medan den fortfarande pågick, skulle företaget ha angett i sin FAQ hur långt skurkarna hade kommit innan deras åtkomst stängdes av.

Vad nästa?

Hur är det med kunder vars pass- eller körkortsnummer var utsatta?

Hur stor risk innebär det för offret för ett dataintrång som detta att läcka ett ID-dokumentnummer snarare än mer fullständiga detaljer om själva dokumentet (som en högupplöst skanning eller bestyrkt kopia)?

Hur mycket identifieringsvärde ska vi ge bara till ID-nummer, med tanke på hur brett och ofta vi delar dem nuförtiden?

Enligt den australiensiska regeringen är risken tillräckligt stor för att offren för intrånget uppmanas att byta ut berörda dokument.

Och med möjligen miljontals berörda användare, kan bara avgifterna för förnyelse av dokument uppgå till hundratals miljoner dollar, och göra det nödvändigt att annullera och återutställa en betydande del av landets körkort.

Vi uppskattar att cirka 16 miljoner Aussies har licenser och är benägna att använda dem som ID i Australien istället för att bära runt sina pass. Så, om optusdata BreachForum-affischen berättade sanningen och nära 4 miljoner licensnummer stals, nära 25 % av alla australiska licenser kan behöva bytas ut. Vi vet inte hur användbart detta faktiskt kan vara när det gäller australiska körkort, som utfärdas av enskilda stater och territorier. I Storbritannien, till exempel, är ditt körkortsnummer ganska uppenbart härlett algoritmiskt från ditt namn och födelsedatum, med en mycket blygsam mängd blandning och bara några slumpmässiga tecken infogade. En ny licens får därför ett nytt nummer som är väldigt likt det tidigare.

De utan licenser, eller besökare som hade köpt SIM-kort från Optus på basis av ett utländskt pass, skulle behöva byta ut sina pass istället – ett australiensiskt pass som ersätts kostar nära AU$193, ett brittiskt pass är £75 till £85, och en amerikansk förnyelse är $130 till $160.

(Det finns också frågan om väntetider: Australien rekommenderar för närvarande att ett nytt pass kommer att ta minst 6 veckor [2022-09-28T13:50Z], och det är utan en plötslig ökning orsakad av intrångsrelaterad bearbetning; i Storbritannien, p.g.a. befintliga eftersläpningar, säger Hans Majestäts regering för närvarande till sökande att tillåta 10 veckor för förnyelse av pass.)

Vem står för kostnaden?

Naturligtvis, om det anses nödvändigt att ersätta alla potentiellt komprometterade ID:n är den brännande frågan, "Vem ska betala?"

Enligt Australiens premiärminister, Anthony Albanese, råder det ingen tvekan om var pengarna för att ersätta pass ska komma ifrån:

Det finns inga ord från den federala lagstiftaren om att ersätta körkort, att det är en fråga som hanteras av statliga och territorier...

...och inga ord om huruvida "ersätt alla dokument" kommer att bli en rutinmässig reaktion när ett intrång som involverar ID-handling rapporteras, något som lätt kan översvämma public service, med tanke på att licenser och pass vanligtvis förväntas hålla i 10 år vardera.

Se det här utrymmet – det här ser ut att bli intressant!

Tidsstämpel:

Mer från Naken säkerhet