Gã khổng lồ viễn thông Úc Optus được cho là đang nhận được sự giúp đỡ từ FBI trong việc điều tra những gì dường như là một vụ vi phạm có thể ngăn chặn dễ dàng dẫn đến việc làm lộ dữ liệu nhạy cảm của gần 10 triệu khách hàng.
Trong khi đó, tin tặc rõ ràng hoặc tin tặc đứng sau vụ vi phạm hôm thứ Ba đã rút lại yêu cầu đòi khoản tiền chuộc 1 triệu đô la cùng với lời đe dọa sẽ tiết lộ hàng loạt dữ liệu bị đánh cắp cho đến khi khoản tiền chuộc được thanh toán. Kẻ đe dọa cũng tuyên bố rằng anh ta hoặc cô ta đã xóa tất cả dữ liệu bị đánh cắp khỏi Optus. Tuy nhiên, sự thay đổi rõ ràng đã xảy ra sau khi kẻ tấn công trước đó đã công bố một mẫu gồm khoảng 10,200 hồ sơ khách hàng, dường như là bằng chứng về ý định.
Suy nghĩ thứ hai
Lý do kẻ tấn công rút lại yêu cầu tiền chuộc và mối đe dọa rò rỉ dữ liệu vẫn chưa rõ ràng. Nhưng trong một tuyên bố được đăng trên diễn đàn Dark Web – và đăng lại trên databreaches.net - kẻ tấn công bị cáo buộc ám chỉ “có quá nhiều con mắt” xem dữ liệu là một lý do. “Chúng tôi sẽ không bán dữ liệu cho bất kỳ ai,” ghi chú viết. “Chúng tôi không thể nếu chúng tôi thậm chí muốn: xóa dữ liệu cá nhân khỏi ổ đĩa (Chỉ sao chép).”
Kẻ tấn công cũng xin lỗi Optus và 10,200 khách hàng có dữ liệu bị rò rỉ: “Australia sẽ không đạt được lợi ích gì từ việc gian lận, việc này có thể được theo dõi. Có thể đối với 10,200 người Úc nhưng phần còn lại của dân số thì không. Rất tiếc cho bạn.
Lời xin lỗi và tuyên bố của kẻ tấn công về việc xóa dữ liệu bị đánh cắp khó có thể làm dịu đi những lo ngại xung quanh vụ tấn công, được mô tả là vụ vi phạm lớn nhất từ trước đến nay ở Úc.
Optus lần đầu tiên tiết lộ vi phạm vào ngày 21 tháng XNUMXvà trong một loạt cập nhật kể từ đó đã mô tả nó ảnh hưởng đến khách hàng hiện tại và trước đây của khách hàng băng thông rộng, di động và doanh nghiệp của công ty từ năm 2017 trở đi. Theo công ty, hành vi vi phạm có thể làm lộ tên khách hàng, ngày sinh, số điện thoại, địa chỉ email và – đối với một nhóm nhỏ khách hàng – địa chỉ đầy đủ, thông tin giấy phép lái xe hoặc số hộ chiếu của họ.
Thực hành bảo mật Optus dưới kính hiển vi
Vi phạm này đã làm dấy lên mối lo ngại về gian lận danh tính trên diện rộng và buộc Optus phải - trong số các biện pháp khác - hợp tác với chính quyền các bang khác nhau của Úc để thảo luận về khả năng thay đổi chi tiết giấy phép lái xe của những cá nhân bị ảnh hưởng với chi phí của công ty. “Khi chúng tôi liên hệ, chúng tôi sẽ ghi có vào tài khoản của bạn để trang trải mọi chi phí thay thế có liên quan. Chúng tôi sẽ thực hiện việc này một cách tự động nên bạn không cần phải liên hệ với chúng tôi”, khách hàng của Optus thông báo. “Nếu bạn không nhận được phản hồi từ chúng tôi, điều đó có nghĩa là bằng lái xe của bạn không cần phải đổi.”
Sự xâm phạm dữ liệu đã đặt các hoạt động bảo mật của Optus ngay lập tức dưới ánh đèn sân khấu, đặc biệt là vì nó dường như xuất phát từ một lỗi cơ bản. The Australian Broadcasting Corporation (ABC) vào ngày 22 tháng XNUMX trích dẫn một “nhân vật cấp cao không xác định”” bên trong Optus cho biết kẻ tấn công về cơ bản có thể truy cập cơ sở dữ liệu thông qua giao diện lập trình ứng dụng (API) không được xác thực.
Người trong cuộc được cho là đã nói với ABC rằng cơ sở dữ liệu nhận dạng khách hàng trực tiếp mà kẻ tấn công truy cập được kết nối thông qua một API không được bảo vệ với Internet. Giả định là chỉ các hệ thống Optus được ủy quyền mới sử dụng API. Nhưng bằng cách nào đó, nó lại lọt vào một mạng thử nghiệm, tình cờ được kết nối trực tiếp với Internet, ABC dẫn lời người trong cuộc cho biết.
ABC và các phương tiện truyền thông khác đã mô tả Giám đốc điều hành Optus Kelly Bayer Rosmarin khẳng định công ty là nạn nhân của một cuộc tấn công tinh vi và dữ liệu mà kẻ tấn công tuyên bố đã truy cập đã được mã hóa.
Nếu báo cáo về API bị lộ là đúng thì Optus là nạn nhân của một lỗi bảo mật mà nhiều người khác mắc phải. Adam Fisher, kiến trúc sư giải pháp tại Salt Security cho biết: “Xác thực người dùng bị hỏng là một trong những lỗ hổng API phổ biến nhất”. “Những kẻ tấn công tìm kiếm chúng trước tiên vì các API không được xác thực sẽ không cần nỗ lực để vi phạm.”
Ông nói, các API mở hoặc không được xác thực thường là kết quả của nhóm cơ sở hạ tầng hoặc nhóm quản lý xác thực, định cấu hình sai thứ gì đó. Fisher cho biết: “Bởi vì phải cần nhiều hơn một nhóm để chạy một ứng dụng nên thông tin sai lệch thường xuyên xảy ra. Ông lưu ý rằng các API không được xác thực chiếm vị trí thứ hai trong danh sách 10 lỗ hổng bảo mật API hàng đầu của OWASP.
Một báo cáo do Imperva ủy quyền vào đầu năm nay đã xác định các doanh nghiệp Hoa Kỳ đang phát sinh giữa Thiệt hại 12 tỷ đô la và 23 tỷ đô la từ các thỏa hiệp liên quan đến API chỉ trong năm 2022. Một nghiên cứu dựa trên khảo sát khác mà Cloudentity thực hiện vào năm ngoái cho thấy 44% số người được hỏi nói rằng tổ chức của họ đã bị rò rỉ dữ liệu và các vấn đề khác bắt nguồn từ lỗi bảo mật API.
Kẻ tấn công “ma quái”?
FBI đã không trả lời ngay lập tức yêu cầu bình luận của Dark Reading qua địa chỉ email của văn phòng báo chí quốc gia, nhưng Người giám hộ
và những người khác báo cáo rằng cơ quan thực thi pháp luật Hoa Kỳ đã được gọi đến để hỗ trợ điều tra. Các Cảnh sát Liên bang Úc, công ty đang điều tra vụ vi phạm Optus, cho biết họ đang làm việc với cơ quan thực thi pháp luật ở nước ngoài để truy tìm cá nhân hoặc nhóm chịu trách nhiệm về việc này.
Casey Ellis, người sáng lập và CTO của công ty tiền thưởng lỗi Bugcrowd, cho biết sự giám sát chặt chẽ về hành vi vi phạm nhận được từ chính phủ, công chúng và cơ quan thực thi pháp luật Úc có thể đã khiến kẻ tấn công hoảng sợ. Ông nói: “Hiếm khi loại tương tác này lại ngoạn mục như lần này”. “Thỏa hiệp gần một nửa dân số của một quốc gia sẽ thu hút rất nhiều sự chú ý rất mạnh mẽ và mạnh mẽ, và những kẻ tấn công liên quan ở đây rõ ràng đã đánh giá thấp điều này.”
Phản ứng của họ cho thấy những kẻ đe dọa còn rất trẻ và có khả năng rất mới đối với hành vi phạm tội, ít nhất là ở quy mô này, ông lưu ý.
Fisher cho biết thêm: “Rõ ràng, chính phủ Úc đã rất coi trọng vi phạm này và đang truy lùng kẻ tấn công một cách quyết liệt”. “Phản ứng mạnh mẽ này có thể khiến kẻ tấn công mất cảnh giác” và có thể khiến họ phải suy nghĩ lại. “Tuy nhiên, thật không may, dữ liệu đã được công bố rộng rãi. Một khi một công ty thấy mình xuất hiện trên những tin tức như thế này thì mọi hacker đều sẽ chú ý.”
