Повідомляється, що австралійський телекомунікаційний гігант Optus отримує допомогу від ФБР у розслідуванні того, що, здається, було легко запобігти злому, який закінчився розкриттям конфіденційних даних майже 10 мільйонів клієнтів.
Тим часом очевидний хакер або хакери, які стоять за зломом, у вівторок відкликали свою вимогу щодо викупу в 1 мільйон доларів разом із погрозою оприлюднити пакети вкрадених даних, доки викуп не буде сплачено. Зловмисник також заявив, що видалив усі дані, вкрадені з Optus. Однак очевидна зміна думки відбулася після того, як зловмисник уже раніше опублікував вибірку з приблизно 10,200 XNUMX записів клієнтів, здавалося б, як доказ наміру.
Перегляд точки зору
Причина відкликання зловмисником вимоги про викуп і загроза витоку даних залишаються незрозумілими. Але в заяві, опублікованій на форумі Dark Web: і перепубліковано на databreaches.net — передбачуваний зловмисник посилався на «забагато очей», вважаючи дані однією з причин. «Ми не будемо нікому продавати дані», — йдеться в записці. «Ми не можемо, якщо навіть хочемо: особисто видалені дані з диска (тільки копія).»
Зловмисник також вибачився перед Optus і перед 10,200 10,200 клієнтами, чиї дані були витоку: «Австралія не побачить жодної вигоди від шахрайства, це можна контролювати. Можливо, для XNUMX XNUMX австралійців, але для решти населення ні. Дуже шкода вам».
Вибачення та вимоги зловмисника про видалення вкрадених даних навряд чи зменшать занепокоєння навколо атаки, яка була описана як найбільше порушення в історії Австралії.
Оптус вперше оголосив про порушення 21 вересня, і в серії оновлень з того часу описано, що це впливає на поточних і попередніх клієнтів широкосмугового, мобільного та бізнес-клієнтів компанії з 2017 року. Згідно з версією компанії, через порушення могли бути розкриті імена клієнтів, дати народження, номери телефонів, адреси електронної пошти та — для частини клієнтів — їхні повні адреси, інформація про водійські права чи номери паспортів.
Практики безпеки Optus під мікроскопом
Порушення викликало занепокоєння щодо широкого шахрайства з особистими даними та підштовхнуло Optus — серед інших заходів — до співпраці з урядами різних австралійських штатів, щоб обговорити можливість зміни даних водійських прав постраждалих осіб за рахунок компанії. «Коли ми зв’яжемося, ми зарахуємо на ваш обліковий запис для покриття будь-яких відповідних витрат на заміну. Ми зробимо це автоматично, тому вам не потрібно зв’язуватися з нами», – повідомили клієнтам Optus. «Якщо ми не зв’яжемося з вами, це означає, що ваше водійське посвідчення не потрібно міняти».
Компрометація даних поставила методи безпеки Optus прямо в центр уваги, особливо тому, що це, здається, стало результатом фундаментальної помилки. Австралійська телерадіомовна корпорація (ABC) 22 вер процитував невідомого «старшого діяча” в Optus, стверджуючи, що зловмисник отримав доступ до бази даних через неавтентифікований інтерфейс програмування додатків (API).
Інсайдер нібито повідомив ABC, що база даних ідентифікаційних даних клієнтів, до якої отримав доступ зловмисник, була підключена до Інтернету через незахищений API. Передбачалося, що тільки авторизовані системи Optus будуть використовувати API. Але якимось чином він потрапив у тестову мережу, яка виявилася безпосередньо підключеною до Інтернету, цитує ABC слова інсайдера.
ABC та інші засоби масової інформації описали генерального директора Optus Келлі Байєр Росмарін, яка наполягала на тому, що компанія стала жертвою складної атаки та що дані, до яких зловмисник стверджував, були зашифровані.
Якщо звіт про виявлений API правдивий, Optus став жертвою помилки безпеки, яку роблять багато інших. «Порушена автентифікація користувача є однією з найпоширеніших уразливостей API», — каже Адам Фішер, архітектор рішень у Salt Security. «Зловмисники спочатку шукають їх, тому що неавтентифіковані API не вживають зусиль для зламу».
За його словами, відкриті або неавтентифіковані API часто є результатом того, що команда інфраструктури або команда, яка керує автентифікацією, щось неправильно налаштувала. «Оскільки для запуску програми потрібна більше ніж одна команда, часто виникають непорозуміння», — каже Фішер. Він зазначає, що неавтентифіковані API займають друге місце в списку 10 найбільших уразливостей безпеки API OWASP.
Раніше цього року у звіті, наданому Imperva, зазначено, що американські підприємства здійснюють між 12 мільярдів доларів США та 23 мільярди доларів США збитків від зламу, пов’язаного з API тільки в 2022 році. Інше дослідження, засноване на опитуванні, яке Cloudentity провело минулого року, виявило 44% респондентів сказали, що їхня організація стикалася з витоком даних та інші проблеми, що виникають через помилки безпеки API.
«Наляканий» нападник?
ФБР не відповіло негайно на запит Dark Reading про коментар через свою електронну адресу національної прес-служби, але Guardian
та інші повідомили, що правоохоронні органи США були викликані для допомоги в розслідуванні. The Федеральна поліція Австралії, яка розслідує порушення безпеки Optus, заявила, що працює з закордонними правоохоронними органами, щоб відстежити особу чи групу, відповідальну за це.
Кейсі Елліс, засновник і технічний директор компанії Bugcrowd, яка займається виплатою винагород за помилок, каже, що ретельна перевірка злому з боку австралійського уряду, громадськості та правоохоронних органів могла налякати зловмисника. «Цей тип взаємодії є настільки вражаючим, як цей, — говорить він. «Компрометація майже половини населення країни приверне багато дуже інтенсивної та дуже сильної уваги, і зловмисники, задіяні тут, явно цього недооцінили».
Їхня відповідь свідчить про те, що суб’єкти загрози дуже молоді та, ймовірно, зовсім не знайомі зі злочинною поведінкою, принаймні такого масштабу, зазначає він.
«Очевидно, що австралійський уряд дуже серйозно поставився до цього порушення та ненажерливо переслідує зловмисника», — додає Фішер. «Ця сильна відповідь могла застати зненацька зловмисника» та, ймовірно, наштовхнула на інші думки. «Однак, на жаль, дані вже відкриті. Як тільки така компанія потрапляє в новини, кожен хакер звертає на це увагу».
