Порушення Optus – австралійська телекомунікаційна компанія повідомила, що їй доведеться заплатити за заміну ідентифікаторів PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Порушення Optus – австралійська телекомунікаційна компанія повідомила, що їй доведеться заплатити за заміну ідентифікаторів

Мітка часу: 28 вересня 2022 р., 9:55

by
Пол Даклін

Кібервторгнення минулого тижня в австралійську телекомунікаційну компанію Optus, яка має близько 10 мільйонів клієнтів, викликало гнів уряду країни через те, як зламана компанія повинна мати справу з викраденими ідентифікаційними даними.

Темна мережа скріншоти спливла швидко після нападу, з підпілля BreachForums користувач під простим іменем optusdata пропонуючи два транші даних, стверджуючи, що вони мали дві бази даних:

  11,200,000 4,232,652 3,664,598 записів користувачів із іменем, датою народження, номером мобільного телефону та ідентифікатором 10,000,000 3,817,197 3,238,014 записи включали певний номер ідентифікаційного документа XNUMX XNUMX XNUMX ідентифікаторів були з водійських прав XNUMX XNUMX XNUMX записів адреси з електронною поштою, датою народження, ідентифікатором тощо XNUMX XNUMX XNUMX мали номери ідентифікаційних документів XNUMX XNUMX XNUMX із посвідчень були водійські права

Продавець написав, «Оптус, якщо ви читаєте! Ціна, за яку ми не продаємо [sic] дані, становить 1,000,000 1 XNUMX доларів США! Ми даємо вам XNUMX тиждень, щоб прийняти рішення».

Звичайні покупці, сказав продавець, могли б отримати бази даних за 300,000 1 доларів як робочий лот, якщо Optus не прийме свою пропозицію «ексклюзивного доступу» в XNUMX мільйон доларів протягом тижня.

Продавець сказав, що очікує виплати у формі Monero, популярної криптовалюти, яку важче відстежити, ніж біткойн.

Транзакції Monero є змішати разом як частину платіжного протоколу, перетворюючи екосистему Monero на власний власний анонімайзер або стакан криптовалют.

Що сталося?

Саме порушення даних, очевидно, було пов’язане з відсутністю безпеки на тому, що на жаргоні називається an Кінцева точка API. (API - це скорочення від інтерфейс прикладного програмування, заздалегідь визначений спосіб для однієї частини програми або колекції програм запитувати певну послугу або отримувати дані з іншої.)

В Інтернеті кінцеві точки API зазвичай приймають форму спеціальних URL-адрес, які ініціюють певну поведінку або повертають запитані дані замість простого обслуговування веб-сторінки.

Наприклад, URL-адреса like https://www.example.com/about може просто передати статичну веб-сторінку у формі HTML, наприклад:

  
    
       
About this site

       
This site is just an example, as the URL implies.

Таким чином, відвідування URL-адреси за допомогою браузера призведе до веб-сторінки, яка виглядає так, як ви очікуєте:

Але така URL-адреса, як https://api.example.com/userdata?id=23de­6731­e9a7 може повернути запис бази даних, специфічний для зазначеного користувача, як якщо б ви виконали функцію в програмі на C за рядками:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Якщо припустити, що запитуваний ідентифікатор користувача існує в базі даних, виклик еквівалентної функції за допомогою HTTP-запиту до кінцевої точки може дати відповідь у форматі JSON, як-от: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

У API такого типу ви, ймовірно, очікуєте, що буде вжито кілька запобіжних заходів щодо кібербезпеки, наприклад:

  • Аутентифікація. Кожен веб-запит може містити HTTP-заголовок із зазначенням випадкового (нерозгадливого) файлу cookie сеансу, виданого користувачеві, який нещодавно підтвердив свою особу, наприклад, за допомогою імені користувача, пароля та коду 2FA. Цей тип файлу cookie сеансу, зазвичай дійсний лише протягом обмеженого часу, діє як тимчасовий доступ для запитів на пошук, які згодом виконуються попередньо автентифікованим користувачем. Тому запити API від неавтентифікованих або невідомих користувачів можуть бути миттєво відхилені.
  • Обмеження доступу. Для пошуку в базі даних, які можуть отримати ідентифікаційні дані (PII), такі як ідентифікаційні номери, домашні адреси або дані платіжної картки, сервер, який приймає запити кінцевої точки API, може застосувати захист на рівні мережі, щоб відфільтрувати запити, що надходять безпосередньо з Інтернету. Таким чином, зловмиснику потрібно буде спершу скомпрометувати внутрішній сервер і він не зможе перевірити дані безпосередньо через Інтернет.
  • Ідентифікатори бази даних, які важко вгадати. хоча безпека через незрозумілість (також відомий як «вони ніколи про це не здогадаються») є поганою базовою основою для кібербезпеки, тому немає сенсу полегшувати речі для шахраїв, ніж потрібно. Якщо ваш власний ідентифікатор користувача 00000145, і ви знаєте, що друг, який зареєструвався одразу після вас, отримав 00000148, тоді можна припустити, що дійсні значення ідентифікатора користувача починаються з 00000001 і підніміться звідти. Випадково згенеровані значення ускладнюють зловмисникам, які вже знайшли лазівку у вашому контролі доступу, запустити цикл, який знову і знову намагається отримати ймовірні ідентифікатори користувачів.
  • Обмеження швидкості. Будь-яка повторювана послідовність подібних запитів може бути використана як потенційний IoC, або індикатор компромісу. Кіберзлочинці, які хочуть завантажити 11,000,000 XNUMX XNUMX елементів бази даних, як правило, не використовують один комп’ютер із єдиним IP-номером для виконання всієї роботи, тому атаки масового завантаження не завжди очевидні лише з традиційних мережевих потоків. Але вони часто генерують моделі та темпи активності, які просто не відповідають тим, що ви очікуєте побачити в реальному житті.

Очевидно, під час атаки Optus не було застосовано жодного з цих засобів захисту, особливо в тому числі першого...

…це означає, що зловмисник міг отримати доступ до ідентифікаційної інформації без жодної потреби ідентифікувати себе, не кажучи вже про те, щоб викрасти код входу легітимного користувача чи файл cookie автентифікації, щоб отримати доступ.

Якимось чином, схоже, кінцева точка API з доступом до конфіденційних даних була відкрита для Інтернету в цілому, де її виявив кіберзлочинець і використав для вилучення інформації, яка мала бути за певним портулем кібербезпеки.

Крім того, якщо вірити заяві зловмисника про те, що він отримав понад 20,000,000 XNUMX XNUMX записів бази даних із двох баз даних, ми припускаємо [a], що Optus userid коди легко обчислювалися або вгадувалися, і [b] не було попереджень про те, що «доступ до бази даних не досяг незвичних рівнів».

На жаль, Optus не дуже чітко розповіла про те, як розгорнулась атака, сказавши лише:

В. Як це сталося?

A. Optus став жертвою кібератаки. […]

З. Атаку зупинено?

А. Так. Виявивши це, Optus негайно припинив атаку.

Іншими словами, виглядає так, ніби «припинення атаки» передбачало закриття лазівки від подальшого вторгнення (наприклад, шляхом блокування доступу до неавтентифікованої кінцевої точки API), а не перехоплення початкової атаки на ранній стадії після викрадення лише обмеженої кількості записів. .

Ми підозрюємо, що якби Optus виявив атаку, коли вона ще тривала, компанія вказала б у своїх поширених запитаннях, наскільки далеко зайшли шахраї, перш ніж їм було закрито доступ.

Що далі?

Що щодо клієнтів, чиї номери паспортів чи водійських прав були розкриті?

Наскільки небезпечним є витік номера ідентифікаційного документа, а не більш детальної інформації про сам документ (наприклад, скан високої роздільної здатності чи завірена копія), для жертви такого порушення даних?

Яку ідентифікаційну цінність ми повинні надавати лише ідентифікаційним номерам, враховуючи, наскільки широко та часто ми ними ділимося сьогодні?

За словами австралійського уряду, ризик досить значний, тому жертвам злому рекомендується замінити пошкоджені документи.

І, можливо, постраждали мільйони користувачів, тільки плата за продовження документів може сягати сотень мільйонів доларів і вимагати анулювання та перевидачі значної частини водійських посвідчень у країні.

За нашими оцінками, близько 16 мільйонів австралійців мають ліцензії та схильні використовувати їх як посвідчення особи в Австралії замість того, щоб носити з собою паспорти. Отже, якщо optusdata Плакат BreachForum говорив правду, і було вкрадено близько 4 мільйонів номерів ліцензій, близько 25% усіх австралійських ліцензій, можливо, потребуватимуть заміни. Ми не знаємо, наскільки це може бути насправді корисним у випадку австралійських водійських прав, які видаються окремими штатами та територіями. Наприклад, у Великій Британії номер вашого водійського посвідчення цілком очевидно виводиться алгоритмічно з вашого імені та дати народження, з дуже скромною кількістю перетасування та лише кількома випадковими символами. Тому нова ліцензія отримує новий номер, який дуже схожий на попередній.

Тим, хто не має ліцензій, або відвідувачам, які купили SIM-картки в Optus на основі закордонного паспорта, доведеться замість цього замінити свої паспорти – заміна паспорта в Австралії коштує близько 193 австралійських доларів, паспорта Великобританії – від 75 до 85 фунтів стерлінгів, а поновлення в США коштує від 130 до 160 доларів США.

(Існує також питання про час очікування: наразі Австралія повідомляє, що заміна паспорта триватиме щонайменше 6 тижнів [2022-09-28T13:50Z], і це без раптового сплеску, спричиненого обробкою, пов’язаною з порушенням; у Великобританії через існуючі відставання, Уряд Його Величності наразі повідомляє заявникам, що потрібно надати 10 тижнів для відновлення паспорта.)

Хто несе витрати?

Звичайно, якщо заміна всіх потенційно скомпрометованих ідентифікаторів вважається необхідною, актуальне питання: «Хто заплатить?»

За словами прем’єр-міністра Австралії Ентоні Албанезе, немає жодних сумнівів, звідки мають узятися гроші на заміну паспортів:

Від федерального законодавчого органу немає жодної інформації про заміну водійських прав, оскільки цим займаються уряди штатів і територій…

…і жодного слова про те, чи стане «замінити всі документи» звичайною реакцією кожного разу, коли надходить повідомлення про порушення, пов’язане з документом, що посвідчує особу, що може легко затопити державну службу, враховуючи, що ліцензії та паспорти зазвичай триватимуть 10 років.

Подивіться на цей простір – здається, стане цікавим!

Часова мітка:

Більше від Гола безпека