มีรายงานว่า Optus ยักษ์ใหญ่ด้านโทรคมนาคมของออสเตรเลียได้รับความช่วยเหลือจาก FBI ในการสืบสวนสิ่งที่ดูเหมือนจะเป็นการละเมิดที่ป้องกันได้ง่าย ซึ่งจบลงด้วยการเปิดเผยข้อมูลที่ละเอียดอ่อนแก่ลูกค้าเกือบ 10 ล้านราย
ในขณะเดียวกัน แฮกเกอร์หรือแฮกเกอร์ที่อยู่เบื้องหลังการละเมิดเมื่อวันอังคารได้ถอนความต้องการค่าไถ่ 1 ล้านดอลลาร์พร้อมกับขู่ว่าจะปล่อยข้อมูลที่ถูกขโมยเป็นกลุ่มจนกว่าจะจ่ายค่าไถ่ ผู้คุกคามยังอ้างว่าเขาหรือเธอลบข้อมูลทั้งหมดที่ขโมยมาจาก Optus อย่างไรก็ตาม การเปลี่ยนแปลงในใจอย่างเห็นได้ชัดเกิดขึ้นหลังจากที่ผู้โจมตีได้เปิดเผยตัวอย่างบันทึกลูกค้าประมาณ 10,200 รายการก่อนหน้านี้ ซึ่งดูเหมือนจะเป็นข้อพิสูจน์ถึงเจตนา
ความคิดที่สอง
เหตุผลของผู้โจมตีในการถอนการเรียกร้องค่าไถ่และภัยคุกคามข้อมูลรั่วไหลยังไม่ชัดเจน แต่ในแถลงการณ์ที่โพสต์บนฟอรัม Dark Web — และโพสต์ซ้ำบน databreaches.net — ผู้โจมตีที่ถูกกล่าวหาพูดพาดพิงถึง “สายตามากเกินไป” โดยมองว่าข้อมูลเป็นเหตุผลหนึ่ง “เราจะไม่ขายข้อมูลให้กับใครก็ตาม” ข้อความดังกล่าวระบุ “เราทำไม่ได้หากเราต้องการ: ลบข้อมูลออกจากไดรฟ์เป็นการส่วนตัว (สำเนาเท่านั้น)”
ผู้โจมตียังได้ขอโทษ Optus และลูกค้า 10,200 รายที่มีข้อมูลรั่วไหลว่า “ออสเตรเลียจะไม่ได้รับประโยชน์จากการฉ้อโกง ซึ่งสามารถตรวจสอบได้” อาจจะสำหรับชาวออสเตรเลีย 10,200 คน แต่จำนวนประชากรที่เหลือ ขออภัยคุณอย่างยิ่ง”
คำขอโทษและการกล่าวอ้างของผู้โจมตีในการลบข้อมูลที่ถูกขโมยนั้นไม่น่าจะบรรเทาความกังวลเกี่ยวกับการโจมตีได้ ซึ่งได้รับการอธิบายว่าเป็นการละเมิดครั้งใหญ่ที่สุดเท่าที่เคยมีมาในออสเตรเลีย
Optus เปิดเผยการละเมิดครั้งแรกเมื่อวันที่ 21 กันยายนและในชุดการอัปเดตตั้งแต่นั้นมาได้อธิบายว่ามีผลกระทบต่อลูกค้าปัจจุบันและลูกค้าเดิมของลูกค้าบรอดแบนด์ มือถือ และธุรกิจของบริษัท ตั้งแต่ปี 2017 เป็นต้นไป ตามที่บริษัทระบุ การละเมิดอาจเปิดเผยชื่อลูกค้า วันเกิด หมายเลขโทรศัพท์ ที่อยู่อีเมล และสำหรับลูกค้าบางส่วน ที่อยู่แบบเต็ม ข้อมูลใบขับขี่ หรือหมายเลขหนังสือเดินทาง
แนวทางปฏิบัติด้านความปลอดภัยของ Optus ภายใต้กล้องจุลทรรศน์
การละเมิดดังกล่าวกระตุ้นให้เกิดความกังวลเรื่องการฉ้อโกงข้อมูลระบุตัวตนในวงกว้าง และผลักดันให้ Optus ร่วมมือกับรัฐบาลของรัฐต่างๆ ของออสเตรเลียเพื่อหารือเกี่ยวกับศักยภาพในการเปลี่ยนแปลงรายละเอียดใบขับขี่ของบุคคลที่ได้รับผลกระทบ โดยบริษัทต้องรับผิดชอบค่าใช้จ่าย “เมื่อเราติดต่อกลับ เราจะให้เครดิตในบัญชีของคุณเพื่อครอบคลุมค่าใช้จ่ายในการเปลี่ยนทดแทนที่เกี่ยวข้อง เราจะดำเนินการนี้โดยอัตโนมัติ ดังนั้นคุณไม่จำเป็นต้องติดต่อเรา” Optus แจ้งลูกค้า “หากคุณไม่ได้รับการติดต่อจากเรา แสดงว่าคุณไม่จำเป็นต้องเปลี่ยนใบขับขี่”
การประนีประนอมของข้อมูลทำให้แนวทางปฏิบัติด้านความปลอดภัยของ Optus ตกอยู่ภายใต้ความสนใจอย่างเต็มที่ โดยเฉพาะอย่างยิ่งเนื่องจากดูเหมือนว่าจะเป็นผลมาจากข้อผิดพลาดพื้นฐาน Australian Broadcasting Corporation (ABC) เมื่อวันที่ 22 กันยายน อ้างชื่อ "ผู้อาวุโส" ที่ไม่ปรากฏชื่อ” ภายใน Optus ระบุว่าผู้โจมตีสามารถเข้าถึงฐานข้อมูลผ่าน Application Programming Interface (API) ที่ไม่ได้รับการรับรองความถูกต้อง
คนในที่ถูกกล่าวหาว่าบอกกับ ABC ว่าฐานข้อมูลข้อมูลระบุตัวตนของลูกค้าแบบเรียลไทม์ที่ผู้โจมตีเข้าถึงนั้นเชื่อมต่อผ่าน API ที่ไม่มีการป้องกันกับอินเทอร์เน็ต สมมติฐานคือเฉพาะระบบ Optus ที่ได้รับอนุญาตเท่านั้นที่จะใช้ API แต่ท้ายที่สุดกลับถูกเปิดเผยต่อเครือข่ายทดสอบซึ่งบังเอิญเชื่อมต่อโดยตรงกับอินเทอร์เน็ต ABC อ้างคำพูดของคนวงใน
ABC และสื่ออื่นๆ กล่าวถึง Kelly Bayer Rosmarin ซีอีโอของ Optus โดยยืนยันว่าบริษัทตกเป็นเหยื่อของการโจมตีที่ซับซ้อน และข้อมูลที่ผู้โจมตีอ้างว่าเข้าถึงนั้นได้รับการเข้ารหัส
หากรายงานเกี่ยวกับ API ที่ถูกเปิดเผยเป็นจริง แสดงว่า Optus ตกเป็นเหยื่อของข้อผิดพลาดด้านความปลอดภัยที่หลายๆ คนทำ “การตรวจสอบสิทธิ์ผู้ใช้ที่เสียหายเป็นหนึ่งในช่องโหว่ของ API ที่พบบ่อยที่สุด” Adam Fisher สถาปนิกโซลูชันของ Salt Security กล่าว “ผู้โจมตีจะมองหาพวกเขาก่อน เพราะ API ที่ไม่ได้รับการรับรองความถูกต้องจะไม่พยายามละเมิด”
API แบบเปิดหรือไม่ได้รับการตรวจสอบสิทธิ์มักเป็นผลมาจากทีมโครงสร้างพื้นฐานหรือทีมที่จัดการการตรวจสอบสิทธิ์และกำหนดค่าบางอย่างไม่ถูกต้อง เขากล่าว “เนื่องจากต้องใช้มากกว่าหนึ่งทีมในการรันแอปพลิเคชัน การสื่อสารที่ผิดพลาดจึงเกิดขึ้นบ่อยครั้ง” ฟิชเชอร์กล่าว เขาตั้งข้อสังเกตว่า API ที่ไม่ได้รับการตรวจสอบสิทธิ์จะครองตำแหน่งที่สองในรายการช่องโหว่ด้านความปลอดภัย API 10 อันดับแรกของ OWASP
รายงานที่ได้รับมอบหมายจาก Imperva เมื่อต้นปีนี้ระบุว่าธุรกิจของสหรัฐฯ เกิดขึ้นระหว่างนั้น ขาดทุน 12 พันล้านดอลลาร์และ 23 พันล้านดอลลาร์จากการประนีประนอมที่เชื่อมโยงกับ API ในปี 2022 เท่านั้น อีกหนึ่งงานวิจัยจากการสำรวจที่ Cloudentity ดำเนินการเมื่อปีที่แล้วพบว่า 44% ของผู้ตอบแบบสอบถามกล่าวว่าองค์กรของตนประสบปัญหาข้อมูลรั่วไหล และปัญหาอื่น ๆ ที่เกิดจากการรักษาความปลอดภัยของ API ล่มสลาย
ผู้โจมตี “หวาดกลัว”?
FBI ไม่ตอบสนองต่อคำร้องขอความคิดเห็นของ Dark Reading ในทันทีผ่านทางที่อยู่อีเมลของสำนักงานข่าวแห่งชาติ แต่กลับ ผู้ปกครอง
และคนอื่นๆ รายงานว่าหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ ถูกเรียกตัวเข้ามาช่วยในการสืบสวน ที่ ตำรวจสหพันธรัฐออสเตรเลียซึ่งกำลังสืบสวนการละเมิด Optus กล่าวว่ากำลังทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายในต่างประเทศเพื่อติดตามบุคคลหรือกลุ่มที่รับผิดชอบ
Casey Ellis ผู้ก่อตั้งและ CTO ของบริษัท Bugcrowd ที่เน้นเรื่องแมลง กล่าวว่าการตรวจสอบอย่างเข้มงวดเกี่ยวกับการละเมิดที่ได้รับจากรัฐบาลออสเตรเลีย สาธารณะ และการบังคับใช้กฎหมายอาจทำให้ผู้โจมตีหวาดกลัว “มันค่อนข้างหายากที่ปฏิสัมพันธ์ประเภทนี้จะน่าตื่นตาตื่นใจได้เท่านี้” เขากล่าว “การประนีประนอมกับประชากรเกือบครึ่งหนึ่งของประเทศจะได้รับความสนใจอย่างเข้มข้นและทรงพลังมาก และผู้โจมตีที่เกี่ยวข้องที่นี่ประเมินสิ่งนี้ต่ำเกินไปอย่างชัดเจน”
การตอบสนองของพวกเขาชี้ให้เห็นว่าผู้แสดงภัยคุกคามยังเด็กมากและมีแนวโน้มใหม่มากในการก่ออาชญากรรม อย่างน้อยก็ขนาดนี้ เขาตั้งข้อสังเกต
“เห็นได้ชัดว่ารัฐบาลออสเตรเลียได้ดำเนินการกับการละเมิดนี้อย่างจริงจัง และกำลังติดตามผู้โจมตีอย่างตะกละตะกลาม” ฟิชเชอร์กล่าวเสริม “การตอบสนองที่รุนแรงนี้อาจทำให้ผู้โจมตีไม่ระวังตัว” และอาจกระตุ้นให้เกิดความคิดที่สอง “อย่างไรก็ตาม น่าเสียดายที่ข้อมูลถูกเปิดเผยอยู่แล้ว เมื่อบริษัทพบข่าวเช่นนี้ แฮกเกอร์ทุกคนก็ให้ความสนใจ”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
