据报道,澳大利亚电信巨头 Optus 正在接受 FBI 的帮助,以调查这起似乎很容易预防的违规行为,该违规行为最终暴露了近 10 万客户的敏感数据。
与此同时,周二黑客事件背后的明显黑客撤回了他们要求 1 万美元赎金的要求,并威胁要在支付赎金之前公布批量被盗数据。 威胁者还声称他或她删除了从 Optus 窃取的所有数据。 然而,明显的改变是在攻击者早些时候发布了大约 10,200 条客户记录的样本之后发生的,这似乎是作为意图的证明。
第二个想法
攻击者撤回赎金要求和数据泄露威胁的原因尚不清楚。 但在暗网论坛上发布的一份声明中—— 并在 databreaches.net 上重新发布 - 所谓的攻击者提到“太多的眼睛”看到数据是一个原因。 “我们不会向任何人出售数据,”该说明写道。 “即使我们想,我们也不能:亲自从驱动器中删除数据(仅复制)。”
攻击者还向 Optus 和数据泄露的 10,200 名客户道歉:“澳大利亚不会从欺诈中获益,这是可以监控的。 也许对于 10,200 名澳大利亚人来说,但其他人没有。 非常对不起你。”
道歉和攻击者删除被盗数据的声明不太可能缓解围绕这次袭击的担忧,这次袭击被描述为澳大利亚有史以来最大的数据泄露事件。
Optus公司 首次披露是在 21 月 XNUMX 日,并在此后的一系列更新中将其描述为从 2017 年开始影响公司宽带、移动和商业客户的当前和以前的客户。 据该公司称,该漏洞可能会泄露客户姓名、出生日期、电话号码、电子邮件地址,以及(对于一部分客户)他们的完整地址、驾照信息或护照号码。
显微镜下的 Optus 安全实践
这一违规行为引发了人们对普遍存在的身份欺诈的担忧,并促使 Optus 采取其他措施,与澳大利亚不同州政府合作,讨论是否有可能更改受影响个人的驾照详细信息,费用由公司承担。 “当我们取得联系时,我们会在您的帐户中存入一笔款项,以支付任何相关的重置费用。 我们会自动执行此操作,因此您无需联系我们,”Optus 告知客户。 “如果你没有收到我们的消息,就意味着你的驾照不需要更改。”
数据泄露事件已将 Optus 安全措施置于聚光灯下,尤其是因为它似乎是由根本性错误造成的。 澳大利亚广播公司 (ABC) 22 月 XNUMX 日 引用了一位身份不明的“高级人物”在 Optus 内部表示,攻击者基本上能够通过未经身份验证的应用程序编程接口 (API) 访问数据库。
据称,该内部人士告诉美国广播公司,攻击者访问的实时客户身份数据库是通过不受保护的 API 连接到互联网的。 假设只有授权的 Optus 系统才会使用 API。 但它不知何故最终暴露在一个测试网络中,该网络恰好直接连接到互联网,ABC 援引内部人士的话说。
美国广播公司和其他媒体报道称,Optus 首席执行官凯利拜耳罗斯马林坚称该公司是一次复杂攻击的受害者,攻击者声称访问的数据已加密。
如果关于暴露 API 的报道属实,那么 Optus 就是许多其他人所犯的安全错误的受害者。 “损坏的用户身份验证是最常见的 API 漏洞之一,”Salt Security 的解决方案架构师 Adam Fisher 说。 “攻击者首先会寻找它们,因为未经身份验证的 API 无需付出任何努力即可破坏。”
他说,开放或未经身份验证的 API 通常是基础架构团队或管理身份验证的团队配置错误的结果。 “因为运行一个应用程序需要多个团队,所以经常会出现沟通不畅的情况,”Fisher 说。 他指出,未经身份验证的 API 在 OWASP 的十大 API 安全漏洞列表中排名第二。
今年早些时候 Imperva 委托的一份报告指出,美国企业在 与 API 相关的妥协造成 12 亿美元和 23 亿美元的损失 就在 2022 年。Cloudentity 去年进行的另一项基于调查的研究发现 44% 的受访者表示他们的组织经历过数据泄露 以及 API 安全漏洞引起的其他问题。
“受惊”的攻击者?
FBI 没有立即通过其国家新闻办公室的电子邮件地址回应 Dark Reading 的置评请求,但 监护人
和其他人报告说,美国执法机构被要求协助调查。 这 澳洲联邦警察正在调查 Optus 违规事件的公司表示,它正在与海外执法部门合作,追查对此负责的个人或团体。
漏洞赏金公司 Bugcrowd 的创始人兼首席技术官凯西·埃利斯 (Casey Ellis) 表示,澳大利亚政府、公众和执法部门对该漏洞进行了严格审查,这可能吓坏了攻击者。 他说:“这种类型的互动能像这一次那样壮观是相当罕见的。” “危及一个国家近一半的人口将获得非常强烈和非常强大的关注,而这里涉及的攻击者显然低估了这一点。”
他指出,他们的反应表明威胁行为者非常年轻,可能对犯罪行为非常陌生,至少对这种规模如此。
“显然,澳大利亚政府非常重视这一违规行为,并且正在全力追捕攻击者,”费舍尔补充道。 “这种强烈的反应可能让攻击者措手不及,”并可能促使他们重新考虑。 “然而,不幸的是,数据已经公开。 一旦一家公司发现自己出现在这样的新闻中,每个黑客都会关注。”
