Vi phạm Optus – Công ty viễn thông Aussie cho biết họ sẽ phải trả tiền để thay thế ID PlatoBlockchain Data Intelligence. Tìm kiếm dọc. Ái.

Optus vi phạm - Aussie telco cho biết họ sẽ phải trả tiền để thay thế ID

Dấu thời gian: Ngày 28 tháng 2022 năm 9 55:XNUMX AM

by
Paul Ducklin

Vụ xâm nhập mạng vào tuần trước tại công ty viễn thông Optus của Úc, có khoảng 10 triệu khách hàng, đã khiến chính phủ nước này phẫn nộ về cách công ty vi phạm nên xử lý các chi tiết ID bị đánh cắp.

web tối ảnh chụp màn hình nổi lên nhanh chóng sau cuộc tấn công, với một Vi phạmDiễn đàn người dùng sử dụng tên nói đơn giản là optusdata cung cấp hai nhóm dữ liệu, cáo buộc rằng họ có hai cơ sở dữ liệu như sau:

  11,200,000 hồ sơ người dùng với tên, ngày sinh, số điện thoại di động và ID 4,232,652 hồ sơ bao gồm một số loại tài liệu ID 3,664,598 trong số ID từ giấy phép lái xe 10,000,000 hồ sơ địa chỉ có email, ngày sinh, ID và hơn thế nữa 3,817,197 có số tài liệu ID 3,238,014 trong số các ID là từ giấy phép lái xe

Người bán đã viết, “Optus nếu bạn đang đọc! Giá để chúng tôi không bán dữ liệu [sic] là 1,000,000 đô la Mỹ! Chúng tôi cho bạn 1 tuần để quyết định ”.

Người mua thông thường, người bán cho biết, có thể có cơ sở dữ liệu với giá 300,000 đô la như một công việc, nếu Optus không nhận ưu đãi “truy cập độc quyền” trị giá 1 triệu đô la trong tuần.

Người bán cho biết họ mong đợi thanh toán dưới dạng Monero, một loại tiền điện tử phổ biến khó theo dõi hơn Bitcoin.

Các giao dịch Monero là pha trộn với nhau như một phần của giao thức thanh toán, biến hệ sinh thái Monero thành một loại tiền điện tử hoặc công cụ ẩn danh theo đúng nghĩa của nó.

Chuyện gì đã xảy ra?

Bản thân vụ vi phạm dữ liệu rõ ràng là do thiếu bảo mật đối với những gì được gọi trong biệt ngữ là Điểm cuối API. (API là viết tắt của giao diện lập trình ứng dụng, một cách được xác định trước cho một phần của ứng dụng hoặc bộ sưu tập ứng dụng để yêu cầu một số loại dịch vụ hoặc truy xuất dữ liệu từ một phần khác.)

Trên web, các điểm cuối API thường có dạng URL đặc biệt kích hoạt hành vi cụ thể hoặc trả về dữ liệu được yêu cầu, thay vì chỉ phân phát một trang web.

Ví dụ: một URL như https://www.example.com/about có thể chỉ cung cấp lại một trang web tĩnh ở dạng HTML, chẳng hạn như:

  
    
       
About this site

       
This site is just an example, as the URL implies.

Do đó, việc truy cập URL bằng trình duyệt sẽ dẫn đến một trang web trông như bạn mong đợi:

Nhưng một URL chẳng hạn như https://api.example.com/userdata?id=23de­6731­e9a7 có thể trả về một bản ghi cơ sở dữ liệu cụ thể cho người dùng được chỉ định, như thể bạn đã thực hiện một lệnh gọi hàm trong chương trình C dọc theo các dòng:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

Giả sử ID người dùng được yêu cầu tồn tại trong cơ sở dữ liệu, việc gọi hàm tương đương thông qua một yêu cầu HTTP tới điểm cuối có thể tạo ra một phản hồi ở định dạng JSON, như sau: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

Trong một API loại này, bạn có thể mong đợi một số biện pháp phòng ngừa an ninh mạng được áp dụng, chẳng hạn như:

  • Xác thực. Mỗi yêu cầu web có thể cần phải bao gồm tiêu đề HTTP chỉ định cookie phiên ngẫu nhiên (không thể nhận dạng) được cấp cho người dùng gần đây đã chứng minh danh tính của họ, ví dụ: với tên người dùng, mật khẩu và mã 2FA. Loại cookie phiên này, thường chỉ có hiệu lực trong một thời gian giới hạn, hoạt động như một thẻ truy cập tạm thời cho các yêu cầu tra cứu do người dùng đã xác thực trước thực hiện sau đó. Do đó, các yêu cầu API từ người dùng chưa được xác thực hoặc không xác định có thể bị từ chối ngay lập tức.
  • Truy cập vào vùng giới hạn. Đối với các tra cứu cơ sở dữ liệu có thể truy xuất dữ liệu nhận dạng cá nhân (PII) như số ID, địa chỉ nhà riêng hoặc chi tiết thẻ thanh toán, máy chủ chấp nhận yêu cầu điểm cuối API có thể áp đặt bảo vệ cấp độ mạng để lọc ra các yêu cầu trực tiếp từ internet. Do đó, kẻ tấn công sẽ cần phải xâm nhập một máy chủ nội bộ trước và sẽ không thể thăm dò dữ liệu trực tiếp qua internet.
  • Định danh cơ sở dữ liệu khó đoán. Mặc dù An ninh thông qua sự tối tăm (còn được gọi là "họ sẽ không bao giờ đoán được điều đó") là một cơ sở kém cơ bản cho an ninh mạng, không có ích lợi gì để làm cho mọi thứ dễ dàng hơn bạn phải làm cho kẻ gian. Nếu mạng lưới sử dụng của riêng bạn là 00000145và bạn biết rằng một người bạn đã đăng ký ngay sau khi bạn có 00000148, thì bạn nên đoán rằng các giá trị userid hợp lệ bắt đầu từ 00000001 và đi lên từ đó. Các giá trị được tạo ngẫu nhiên khiến những kẻ tấn công đã tìm thấy sơ hở trong kiểm soát truy cập của bạn khó chạy hơn một vòng lặp đi lặp lại để truy xuất các mã sử dụng có khả năng xảy ra.
  • Giới hạn tỷ lệ. Bất kỳ chuỗi lặp lại nào của các yêu cầu tương tự đều có thể được sử dụng aa IoC tiềm năng, hoặc chỉ báo về sự thỏa hiệp. Tội phạm mạng muốn tải xuống 11,000,000 mục cơ sở dữ liệu thường không sử dụng một máy tính với một số IP duy nhất để thực hiện toàn bộ công việc, vì vậy các cuộc tấn công tải xuống hàng loạt không phải lúc nào cũng rõ ràng chỉ từ các luồng mạng truyền thống. Nhưng chúng thường sẽ tạo ra các mô hình và tỷ lệ hoạt động đơn giản là không khớp với những gì bạn mong đợi sẽ thấy trong cuộc sống thực.

Rõ ràng, rất ít hoặc không có biện pháp bảo vệ nào trong số này được thực hiện trong cuộc tấn công Optus, đáng chú ý là bao gồm cả lần đầu tiên…

… Nghĩa là kẻ tấn công có thể truy cập PII mà không cần phải xác định danh tính bản thân, chứ chưa nói đến việc đánh cắp mã đăng nhập hoặc cookie xác thực của người dùng hợp pháp để truy cập.

Bằng cách nào đó, có vẻ như, một điểm cuối API có quyền truy cập vào dữ liệu nhạy cảm đã được mở ra trên Internet, nơi nó bị tội phạm mạng phát hiện và lạm dụng để trích xuất thông tin đáng lẽ đằng sau một số loại cổng an ninh mạng.

Ngoài ra, nếu tuyên bố của kẻ tấn công đã truy xuất tổng cộng hơn 20,000,000 bản ghi cơ sở dữ liệu từ hai cơ sở dữ liệu được tin rằng, chúng tôi giả định [a] rằng Optus userid mã được tính toán hoặc đoán dễ dàng và [b] không có cảnh báo “quyền truy cập cơ sở dữ liệu nào đạt đến mức bất thường”.

Thật không may, Optus không thực sự rõ ràng về cách cuộc tấn công mở ra, chỉ nói:

Q. Làm thế nào điều này xảy ra?

A. Optus là nạn nhân của một cuộc tấn công mạng. […]

Q. Cuộc tấn công đã được dừng lại chưa?

A. Có. Khi phát hiện ra điều này, Optus ngay lập tức đóng cửa cuộc tấn công.

Nói cách khác, có vẻ như "tắt cuộc tấn công" liên quan đến việc đóng lỗ hổng chống lại sự xâm nhập tiếp theo (ví dụ: bằng cách chặn quyền truy cập vào điểm cuối API chưa được xác thực) hơn là ngăn chặn cuộc tấn công ban đầu ngay sau khi chỉ một số lượng hạn chế bản ghi đã bị đánh cắp .

Chúng tôi nghi ngờ rằng nếu Optus đã phát hiện ra cuộc tấn công trong khi nó vẫn đang được tiến hành, công ty sẽ nêu rõ trong Câu hỏi thường gặp về việc kẻ gian đã đi được bao xa trước khi quyền truy cập của chúng bị đóng.

Tiếp theo là gì?

Còn những khách hàng bị lộ số hộ chiếu hoặc giấy phép lái xe thì sao?

Rủi ro rò rỉ một số tài liệu ID, thay vì các chi tiết đầy đủ hơn của chính tài liệu đó (chẳng hạn như bản quét có độ phân giải cao hoặc bản sao được chứng thực), gây ra bao nhiêu rủi ro cho nạn nhân của một vụ vi phạm dữ liệu như thế này?

Chúng ta nên cung cấp bao nhiêu giá trị nhận dạng cho riêng số ID, với mức độ phổ biến và thường xuyên chúng ta chia sẻ chúng trong những ngày này?

Theo chính phủ Úc, rủi ro đủ lớn là các nạn nhân của vụ vi phạm đang được khuyến cáo thay thế các tài liệu bị ảnh hưởng.

Và có thể với hàng triệu người dùng bị ảnh hưởng, chỉ riêng phí gia hạn tài liệu có thể lên đến hàng trăm triệu đô la, và đòi hỏi phải hủy bỏ và cấp lại một tỷ lệ đáng kể giấy phép lái xe của đất nước.

Chúng tôi ước tính khoảng 16 triệu người Úc có giấy phép và có xu hướng sử dụng chúng làm giấy tờ tùy thân trong nước Úc thay vì mang theo hộ chiếu của họ. Vì vậy, nếu optusdata Người đăng BreachForum đã nói sự thật và gần 4 triệu số giấy phép đã bị đánh cắp, gần 25% tất cả các giấy phép của Úc có thể cần thay thế. Chúng tôi không biết điều này có thể thực sự hữu ích như thế nào trong trường hợp giấy phép lái xe của Úc, được cấp bởi các tiểu bang và vùng lãnh thổ riêng lẻ. Ví dụ: ở Anh, số giấy phép lái xe của bạn rõ ràng được lấy theo thuật toán từ tên và ngày sinh của bạn, với số lượng xáo trộn rất khiêm tốn và chỉ một vài ký tự ngẫu nhiên được chèn vào. Do đó, giấy phép mới sẽ có một số mới rất giống với giấy phép trước đó.

Những người không có giấy phép hoặc những khách đã mua thẻ SIM từ Optus trên cơ sở hộ chiếu nước ngoài, sẽ cần phải thay hộ chiếu của họ để thay thế hộ chiếu của họ - chi phí thay hộ chiếu Úc gần 193 đô la Úc, hộ chiếu Vương quốc Anh là 75 bảng Anh đến 85 bảng Anh và một lần gia hạn tại Hoa Kỳ là $ 130 đến $ 160.

(Cũng có câu hỏi về thời gian chờ đợi: Úc hiện đang khuyên rằng hộ chiếu thay thế sẽ mất ít nhất 6 tuần [2022-09-28T13: 50Z] và điều đó không có sự gia tăng đột ngột do xử lý liên quan đến vi phạm; ở Anh, do các công việc tồn đọng hiện có, Chính phủ của Bệ hạ hiện đang thông báo với những người nộp đơn cho phép 10 tuần để gia hạn hộ chiếu.)

Ai chịu chi phí?

Tất nhiên, nếu việc thay thế tất cả các ID có khả năng bị xâm phạm được coi là cần thiết, câu hỏi nóng bỏng là, "Ai sẽ trả?"

Theo Thủ tướng Australia, Anthony Albanese, không còn nghi ngờ gì nữa, tiền để thay hộ chiếu sẽ đến từ đâu:

Không có lời nào từ cơ quan lập pháp liên bang về việc thay thế giấy phép lái xe, đó là vấn đề do chính quyền Tiểu bang và Vùng lãnh thổ xử lý…

… Và không có từ nào về việc liệu “thay thế tất cả các tài liệu” sẽ trở thành một phản ứng thường xuyên bất cứ khi nào một vi phạm liên quan đến tài liệu ID được báo cáo, một thứ có thể dễ dàng xâm nhập dịch vụ công cộng, vì giấy phép và hộ chiếu thường được dự kiến ​​sẽ kéo dài 10 năm mỗi lần.

Xem không gian này - không gian này có vẻ được thiết lập để trở nên thú vị!

Dấu thời gian:

Thêm từ An ninh trần trụi