Optus 违规 - 澳大利亚电信公司告诉它必须支付更换 ID PlatoBlockchain Data Intelligence 的费用。 垂直搜索。 哎。

Optus 违规 - 澳大利亚电信公司告诉它必须支付更换 ID 的费用

时间戳记:28年2022月9日上午55:XNUMX

by
保罗哈普林

上周对拥有约 10 万客户的澳大利亚电信公司 Optus 的网络入侵引起了该国政府对被入侵公司应如何处理被盗 ID 详细信息的愤怒。

暗网 截图 袭击后迅速浮出水面,地下 违规论坛 用户的通俗易懂的名字 optusdata 提供两批数据,声称他们有两个数据库,如下:

  11,200,000 条用户记录,包括姓名、出生日期、手机号码和身份证 4,232,652 条记录包括某种身份证件编号 3,664,598 份身份证件来自驾驶执照 10,000,000 条地址记录,包括电子邮件、出生日期、身份证件等 3,817,197 份身份证件号码 3,238,014的身份证件来自驾驶执照

卖家写道, “如果你正在阅读,Optus! 我们不出售 [原文如此] 数据的价格是 1,000,000 美元! 我们给你 1 周的时间来决定。”

卖家表示,如果 Optus 没有在一周内接受其 300,000 万美元的“独家访问”报价,普通买家可以以 1 万美元的价格获得数据库作为工作批次。

卖家表示,他们希望以门罗币的形式付款,门罗币是一种比比特币更难追踪的流行加密货币。

门罗币交易是 混合在一起 作为支付协议的一部分,使门罗币生态系统本身成为一种加密货币不倒翁或匿名者。

发生了什么事?

数据泄露本身显然是由于缺少行话中所谓的安全性 API端点. (API 的缩写 应用程序接口, 应用程序的一部分或应用程序集合从另一个请求某种服务或检索数据的预定义方式。)

在网络上,API 端点通常采用触发特定行为或返回请求数据的特殊 URL 的形式,而不是简单地提供网页。

例如,像这样的 URL https://www.example.com/about 可能会简单地以 HTML 形式反馈一个静态网页,例如:

  
    
       
About this site

       
This site is just an example, as the URL implies.

因此,使用浏览器访问 URL 会生成一个看起来如您所愿的网页:

但是像这样的网址 https://api.example.com/userdata?id=23de­6731­e9a7 可能会返回特定于指定用户的数据库记录,就好像您在 C 程序中按照以下行进行了函数调用:

   /* Typedefs and prototypes */
   typedef struct USERDATA UDAT;
   UDAT* alloc_new_userdata(void);
   int get_userdata(UDAT* buff, const char* uid);

   /* Get a record */
   UDAT* datarec = alloc_new_userdata();
   int err = get_userdata(datarec,"23de6731e9a7");

假设请求的用户 ID 存在于数据库中,通过对端点的 HTTP 请求调用等效函数可能会产生 JSON 格式的回复,如下所示: 

   {  
      "userid"   : "23de6731e9a7",
      "nickname" : "duck",
      "fullname" : "Paul Ducklin",
      "IDnum"    : "42-4242424242"  
   }

在此类 API 中,您可能会期望有几个网络安全预防措施,例如:

  • 身份验证。 每个 Web 请求可能需要包含一个 HTTP 标头,该标头指定一个随机(不可猜测的)会话 cookie,该 cookie 发给最近证明其身份的用户,例如用户名、密码和 2FA 代码。 此类会话 cookie 通常仅在有限的时间内有效,充当预认证用户随后执行的查找请求的临时访问通行证。 因此,来自未经身份验证或未知用户的 API 请求可以立即被拒绝。
  • 访问限制。 对于可能检索个人身份数据 (PII)(例如 ID 号、家庭住址或支付卡详细信息)的数据库查找,接受 API 端点请求的服务器可能会实施网络级保护以过滤掉直接来自 Internet 的请求。 因此,攻击者需要首先破坏内部服务器,并且无法直接通过 Internet 探测数据。
  • 难以猜测的数据库标识符。 尽管 默默无闻的安全 (也称为“他们永远不会猜到”)是网络安全的一个糟糕的基础,没有必要让事情变得比骗子更容易。 如果您自己的用户 ID 是 00000145, 你知道有一个朋友在你得到之后就注册了 00000148, 那么有效的用户 ID 值开始于 00000001 然后从那里上去。 随机生成的值使已经在您的访问控制中发现漏洞的攻击者更难运行一个循环,一遍又一遍地尝试检索可能的用户 ID。
  • 速率限制。 任何重复的类似请求序列都可以用作潜在的 IoC,或者 妥协指标. 想要下载 11,000,000 个数据库项目的网络犯罪分子通常不会使用具有单个 IP 号的单台计算机来完成整个工作,因此仅从传统网络流中批量下载攻击并不总是很明显。 但它们通常会产生与您在现实生活中期望看到的完全不匹配的模式和活动率。

显然,在 Optus 攻击期间,这些保护措施很少或根本没有到位,特别是包括第一个……

…这意味着攻击者能够访问 PII,而无需识别自己,更不用说窃取合法用户的登录代码或身份验证 cookie 来进入了。

似乎不知何故,一个可以访问敏感数据的 API 端点向整个互联网开放,在那里它被网络犯罪分子发现并被滥用以提取本应存在于某种网络安全闸门背后的信息。

此外,如果攻击者声称从两个数据库中检索到总共超过 20,000,000 条数据库记录是可信的,我们假设 [a] Optus userid 代码很容易计算或猜测,并且 [b] 没有“数据库访问已达到异常级别”警告消失了。

不幸的是,Optus 并不清楚 攻击展开,只说:

问:这是怎么发生的?

A. Optus 是网络攻击的受害者。 […]

Q. 攻击停止了吗?

答:是的。 发现这一点后,Optus 立即关闭了攻击。

换句话说,看起来“关闭攻击”涉及关闭漏洞以防止进一步入侵(例如通过阻止对未经身份验证的 API 端点的访问),而不是在仅有限数量的记录被盗后及早拦截初始攻击.

我们怀疑如果 Optus 在攻击仍在进行时检测到攻击,该公司会在其常见问题解答中说明骗子在访问被关闭之前已经走了多远。

接下来是什么?

那些护照或驾驶执照号码被泄露的客户怎么办?

泄露 ID 文件编号而不是文件本身的更完整细节(例如高分辨率扫描或认证副本)会给此类数据泄露的受害者带来多大风险?

考虑到我们如今共享 ID 号码的范围和频率有多高,我们应该单独给予 ID 号码多少识别价值?

根据澳大利亚政府的说法,风险非常大,以至于建议违规的受害者更换受影响的文件。

并且可能有数百万受影响的用户,仅文件更新费用就可能达到数亿美元,并且需要取消和重新颁发该国相当大比例的驾驶执照。

我们估计大约有 16 万澳大利亚人拥有驾照,并且倾向于在澳大利亚境内将其用作身份证件,而不是随身携带护照。 所以,如果 optusdata BreachForum 的海报说的是实话,近 4 万个牌照号码被盗,接近 25% 的澳大利亚牌照可能需要更换。 我们不知道这对于由各个州和地区颁发的澳大利亚驾驶执照实际上有多大用处。 例如,在英国,您的驾驶执照号码显然是从您的姓名和出生日期通过算法推导出来的,只是进行了非常少量的改组和插入了一些随机字符。 因此,新许可证会获得一个与前一个非常相似的新编号。

那些没有执照的人,或者是根据外国护照从 Optus 购买 SIM 卡的游客,需要更换他们的护照——澳大利亚护照更换费用接近 193 澳元,英国护照是 75 至 85 英镑,以及美国续订费用为 130 至 160 美元。

(还有等待时间的问题:澳大利亚目前建议更换护照至少需要 6 周 [2022-09-28T13:50Z],而且这还没有因违规相关处理而导致突然激增;在英国,由于现有的积压,国王陛下政府目前告诉申请人允许 10 周的护照更新。)

谁承担费用?

当然,如果认为有必要更换所有可能受损的 ID,那么迫切的问题是, “谁来付钱?”

根据澳大利亚总理Anthony Albanese 的说法,更换护照的资金应该从哪里来是毫无疑问的:

联邦立法机关没有关于更换驾驶执照的消息,这是由州和领地政府处理的问题……

......并且没有任何关于“更换所有文件”是否会成为例行反应的消息,每当报告涉及身份证件的违规行为时,这很容易淹没公共服务,因为许可证和护照通常预计每个持续 10 年。

观看这个空间——这看起来会变得很有趣!

时间戳记:

更多来自 裸体安全