Avustralyalı telekomünikasyon devi Optus'un, yaklaşık 10 milyon müşteriyle ilgili hassas verilerin açığa çıkmasına neden olan ve kolayca önlenebilir görünen bir ihlali araştırmak için FBI'dan yardım aldığı bildiriliyor.
Bu arada, Salı günkü ihlalin arkasındaki hacker veya bilgisayar korsanları, fidye ödenene kadar çalınan veri yığınlarını serbest bırakma tehdidiyle birlikte 1 milyon dolarlık fidye taleplerini geri çekti. Tehdit aktörü ayrıca Optus'tan çalınan tüm verileri sildiğini iddia etti. Bununla birlikte, bariz fikir değişikliği, saldırganın daha önce, görünüşe göre niyetin kanıtı olarak yaklaşık 10,200 müşteri kaydının bir örneğini yayınlamasının ardından geldi.
İkinci Düşünceler
Saldırganın fidye talebini geri çekme nedeni ve veri sızıntısı tehdidi belirsizliğini koruyor. Ancak bir Dark Web forumunda yayınlanan bir bildiride — ve databreaches.net'te yeniden yayınlandı - saldırgan olduğu iddia edilen kişi, verileri bir neden olarak gören "çok fazla göze" atıfta bulundu. Notta "Kimseye veri satmayacağız" yazıyordu. "İstesek bile yapamayız: verileri kişisel olarak sürücüden sildik (Yalnızca kopya)."
Saldırgan ayrıca Optus'tan ve verileri sızdırılan 10,200 müşteriden özür diledi: "Avustralya dolandırıcılıktan kazanç görmeyecek, bu izlenebilir. Belki 10,200 Avustralyalı için ama nüfusun geri kalanı için hayır. Senin için çok üzgünüm.”
Saldırganın özür dilemesi ve çalınan verileri silme iddiasının, Avustralya'nın şimdiye kadarki en büyük ihlali olarak tanımlanan saldırıyla ilgili endişeleri gidermesi pek olası değil.
Optus ihlali ilk olarak 21 Eylül'de açıkladıve o zamandan beri bir dizi güncellemede, bunun 2017'den itibaren şirketin geniş bant, mobil ve ticari müşterilerinin mevcut ve önceki müşterilerini etkilediğini açıkladı. Şirkete göre, ihlal potansiyel olarak müşteri adlarını, doğum tarihlerini, telefon numaralarını, e-posta adreslerini ve - müşterilerin bir alt kümesi için - tam adreslerini, ehliyet bilgilerini veya pasaport numaralarını açığa çıkarmış olabilir.
Mikroskop Altında Optus Güvenlik Uygulamaları
İhlal, yaygın kimlik dolandırıcılığı endişelerini artırdı ve Optus'u - diğer önlemlerin yanı sıra - etkilenen bireylerin sürücü belgesi ayrıntılarını şirketin maliyetine göre değiştirme potansiyelini tartışmak için farklı Avustralya eyalet hükümetleriyle çalışmaya itti. “İletişime geçtiğimizde, ilgili yenileme masraflarını karşılamak için hesabınıza bir kredi koyacağız. Bunu otomatik olarak yapacağız, bu yüzden bizimle iletişime geçmenize gerek yok,” diye bilgilendirdi Optus müşterileri. “Bizden haber almazsanız, ehliyetinizin değiştirilmesine gerek yok demektir.”
Veri uzlaşması, özellikle temel bir hatadan kaynaklanmış gibi göründüğü için, Optus güvenlik uygulamalarını doğrudan ilgi odağı haline getirdi. Avustralya Yayın Kurumu (ABC) 22 Eylül'de tanımlanamayan bir "üst düzey figürden" alıntı yaptı” Optus'un içinden, saldırganın temel olarak kimliği doğrulanmamış bir uygulama programlama arabirimi (API) aracılığıyla veritabanına erişebildiğini söylüyordu.
İçeriden birinin ABC'ye, saldırganın eriştiği canlı müşteri kimliği veritabanının korumasız bir API aracılığıyla İnternet'e bağlı olduğunu söylediği iddia edildi. Varsayım, yalnızca yetkili Optus sistemlerinin API'yi kullanacağıydı. Ancak ABC'nin içeriden bir kaynağın aktardığına göre, bir şekilde doğrudan İnternete bağlı olan bir test ağına maruz kaldı.
ABC ve diğer medya kuruluşları, Optus CEO'su Kelly Bayer Rosmarin'in, şirketin karmaşık bir saldırının kurbanı olduğu ve saldırganın eriştiğini iddia ettiği verilerin şifrelenmiş olduğu konusunda ısrar ettiğini açıkladı.
Açığa çıkan API hakkındaki rapor doğruysa, Optus birçok kişinin yaptığı bir güvenlik hatasının kurbanı oldu. Salt Security çözüm mimarı Adam Fisher, "Kırık kullanıcı kimlik doğrulaması, en yaygın API güvenlik açıklarından biridir" diyor. "Saldırganlar önce bunları arar çünkü kimliği doğrulanmamış API'ler ihlal etmek için hiçbir çaba sarf etmez."
Açık veya kimliği doğrulanmamış API'ler genellikle altyapı ekibinin veya kimlik doğrulamayı yöneten ekibin bir şeyi yanlış yapılandırmasının sonucudur, diyor. Fisher, "Bir uygulamayı çalıştırmak birden fazla ekip gerektirdiğinden, sık sık yanlış iletişim meydana gelir" diyor. Kimliği doğrulanmamış API'lerin, OWASP'nin en büyük 10 API güvenlik açığı listesinde ikinci sırayı işgal ettiğini belirtiyor.
Bu yılın başlarında Imperva tarafından görevlendirilen bir rapor, ABD işletmelerinin API bağlantılı uzlaşmalardan kaynaklanan 12 milyar dolar ve 23 milyar dolar kayıp sadece 2022'de. Cloudentity'nin geçen yıl yürüttüğü başka bir ankete dayalı araştırma, Katılımcıların %44'ü kuruluşlarının veri sızıntısı yaşadığını söylüyor ve API güvenliğinin sona ermesinden kaynaklanan diğer sorunlar.
"Korkmuş" Saldırgan mı?
FBI, ulusal basın ofisi e-posta adresi aracılığıyla bir Dark Reading yorum talebine hemen yanıt vermedi, ancak vasi
ve diğerleri, ABD kolluk kuvvetlerinin soruşturmaya yardımcı olması için çağrıldığını bildirdi. bu Avustralya Federal PolisiOptus ihlalini soruşturan , bundan sorumlu kişi veya grubun izini sürmek için denizaşırı kolluk kuvvetleriyle birlikte çalıştığını söyledi.
Böcek ödül şirketi Bugcrowd'un kurucusu ve CTO'su Casey Ellis, ihlalin Avustralya hükümeti, halk ve kolluk kuvvetlerinden aldığı yoğun incelemenin saldırganı ürkütmüş olabileceğini söylüyor. "Bu tür bir etkileşimin bu kadar muhteşem olması oldukça nadirdir," diyor. "Bir ülkenin nüfusunun neredeyse yarısını tehlikeye atmak, çok yoğun ve çok güçlü bir ilgi toplayacak ve burada yer alan saldırganlar bunu açıkça hafife aldılar."
Yanıtları, tehdit aktörlerinin çok genç olduğunu ve muhtemelen en azından bu ölçekte suç eylemlerinde çok yeni olduğunu gösteriyor.
Fisher, "Açıkçası, Avustralya hükümeti bu ihlali çok ciddiye aldı ve saldırganın peşinden doymak bilmez bir şekilde gidiyor" diye ekliyor. "Bu güçlü tepki, saldırganı hazırlıksız yakalamış olabilir" ve muhtemelen ikinci kez düşünmeye sevk etti. "Ancak, ne yazık ki, veriler zaten açıkta. Bir şirket kendini böyle haberlerde bulduğunda, her bilgisayar korsanı dikkatini çeker.”
