La cyberintrusion de la semaine dernière chez la compagnie de téléphone australienne Optus, qui compte environ 10 millions de clients, a suscité la colère du gouvernement du pays quant à la manière dont l'entreprise piratée devrait gérer les détails d'identification volés.
Darkweb screenshots fait surface rapidement après l'attaque, avec un sous-sol ViolationForums utilisateur portant le nom clair de optusdata offrant deux tranches de données, alléguant qu'ils disposaient de deux bases de données comme suit :
11,200,000 4,232,652 3,664,598 enregistrements d'utilisateurs avec nom, date de naissance, numéro de portable et pièce d'identité 10,000,000 3,817,197 3,238,014 enregistrements comprenaient une sorte de numéro de pièce d'identité XNUMX XNUMX XNUMX des pièces d'identité provenaient de permis de conduire XNUMX XNUMX XNUMX enregistrements d'adresse avec e-mail, date de naissance, pièce d'identité et plus XNUMX XNUMX XNUMX avaient des numéros de pièce d'identité XNUMX XNUMX XNUMX des pièces d'identité provenaient de permis de conduire
Le vendeur a écrit, « Optus si vous lisez ! Le prix pour nous de ne pas vendre [sic] les données est de 1,000,000 1 XNUMX $US ! Nous vous donnons XNUMX semaine pour vous décider.
Les acheteurs réguliers, a déclaré le vendeur, pourraient avoir les bases de données pour 300,000 1 $ en tant que lot, si Optus n'acceptait pas son offre «d'accès exclusif» de XNUMX million de dollars dans la semaine.
Le vendeur a déclaré qu'il s'attendait à un paiement sous la forme de Monero, une crypto-monnaie populaire plus difficile à tracer que le Bitcoin.
Les transactions Monero sont mélangés ensemble dans le cadre du protocole de paiement, faisant de l'écosystème Monero une sorte de culbuteur ou d'anonymiseur de crypto-monnaie à part entière.
Qu'est-il arrivé?
La violation de données elle-même était apparemment due à une sécurité manquante sur ce que l'on appelle dans le jargon un Point de terminaison API. (API est l'abréviation de Interface de programmation d'applications, une manière prédéfinie pour une partie d'une application, ou d'un ensemble d'applications, de demander une sorte de service ou de récupérer des données d'une autre.)
Sur le Web, les points de terminaison d'API prennent normalement la forme d'URL spéciales qui déclenchent un comportement spécifique ou renvoient les données demandées, au lieu de simplement servir une page Web.
Par exemple, une URL comme https://www.example.com/about peut simplement renvoyer une page Web statique au format HTML, telle que :
About this site
This site is just an example, as the URL implies.
La visite de l'URL avec un navigateur se traduirait donc par une page Web qui ressemble à ce que vous attendez :
Mais une URL telle que https://api.example.com/userdata?id=23de6731e9a7 peut renvoyer un enregistrement de base de données spécifique à l'utilisateur spécifié, comme si vous aviez effectué un appel de fonction dans un programme C du type :
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
En supposant que l'ID utilisateur demandé existe dans la base de données, l'appel de la fonction équivalente via une requête HTTP au point de terminaison peut produire une réponse au format JSON, comme ceci :
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
Dans une API de ce type, vous vous attendriez probablement à ce que plusieurs précautions de cybersécurité soient en place, telles que :
- Authentification. Chaque requête Web peut devoir inclure un en-tête HTTP spécifiant un cookie de session aléatoire (impossible à deviner) émis pour un utilisateur qui a récemment prouvé son identité, par exemple avec un nom d'utilisateur, un mot de passe et un code 2FA. Ce type de cookie de session, généralement valable pour une durée limitée, agit comme un laissez-passer d'accès temporaire pour les requêtes de recherche effectuées ultérieurement par l'utilisateur pré-authentifié. Les demandes d'API d'utilisateurs non authentifiés ou inconnus peuvent donc être instantanément rejetées.
- Restrictions d'accès. Pour les recherches de base de données susceptibles de récupérer des données personnellement identifiables (PII) telles que des numéros d'identification, des adresses personnelles ou des détails de carte de paiement, le serveur acceptant les demandes de point de terminaison API peut imposer une protection au niveau du réseau pour filtrer les demandes provenant directement d'Internet. Un attaquant devrait donc d'abord compromettre un serveur interne et ne serait pas en mesure de rechercher des données directement sur Internet.
- Identificateurs de base de données difficiles à deviner. Bien que la sécurité par l'obscurité (également connu sous le nom de "ils ne devineront jamais ça") est une base sous-jacente médiocre pour la cybersécurité, il ne sert à rien de rendre les choses plus faciles que nécessaire pour les escrocs. Si votre propre ID utilisateur est
00000145, et vous savez qu'un ami qui s'est inscrit juste après votre arrivée00000148, il est alors probable que les valeurs d'ID utilisateur valides commencent à00000001et monter à partir de là. Les valeurs générées aléatoirement rendent plus difficile pour les attaquants qui ont déjà trouvé une faille dans votre contrôle d'accès d'exécuter une boucle qui essaie encore et encore de récupérer les ID utilisateur probables. - Limitation de débit. Toute séquence répétitive de requêtes similaires peut être utilisée comme IoC potentiel, ou indicateur de compromis. Les cybercriminels qui souhaitent télécharger 11,000,000 XNUMX XNUMX éléments de base de données n'utilisent généralement pas un seul ordinateur avec un seul numéro IP pour faire tout le travail, de sorte que les attaques de téléchargement en masse ne sont pas toujours immédiatement évidentes uniquement à partir des flux réseau traditionnels. Mais ils génèrent souvent des modèles et des taux d'activité qui ne correspondent tout simplement pas à ce que vous vous attendez à voir dans la vie réelle.
Apparemment, peu ou pas de ces protections étaient en place lors de l'attaque d'Optus, dont notamment la première…
… ce qui signifie que l'attaquant a pu accéder aux PII sans jamais avoir besoin de s'identifier, et encore moins de voler le code de connexion ou le cookie d'authentification d'un utilisateur légitime pour entrer.
D'une manière ou d'une autre, semble-t-il, un point de terminaison API avec accès à des données sensibles a été ouvert à Internet dans son ensemble, où il a été découvert par un cybercriminel et abusé pour extraire des informations qui auraient dû être derrière une sorte de herse de cybersécurité.
De plus, si l'on croit que l'attaquant prétend avoir récupéré un total de plus de 20,000,000 XNUMX XNUMX enregistrements de base de données à partir de deux bases de données, nous supposons [a] qu'Optus userid les codes ont été facilement calculés ou devinés, et [b] qu'aucun avertissement "l'accès à la base de données n'a atteint des niveaux inhabituels" n'a été déclenché.
Malheureusement, Optus n'a pas été très clair sur la façon dont le l'attaque s'est déroulée, en disant simplement :
Q. Comment cela s'est-il passé ?
A. Optus a été victime d'une cyberattaque. […]
Q. L'attaque a-t-elle été stoppée ?
R. Oui. En découvrant cela, Optus a immédiatement arrêté l'attaque.
En d'autres termes, il semble que "fermer l'attaque" impliquait de fermer la faille contre une nouvelle intrusion (par exemple en bloquant l'accès au point de terminaison d'API non authentifié) plutôt que d'intercepter l'attaque initiale dès le début après qu'un nombre limité d'enregistrements aient été volés. .
Nous soupçonnons que si Optus avait détecté l'attaque alors qu'elle était encore en cours, la société aurait indiqué dans sa FAQ jusqu'où les escrocs étaient allés avant que leur accès ne soit fermé.
Et ensuite?
Qu'en est-il des clients dont les numéros de passeport ou de permis de conduire ont été exposés ?
Quel risque la fuite d'un numéro de document d'identité, plutôt que des détails plus complets du document lui-même (comme une numérisation haute résolution ou une copie certifiée conforme), représente-t-elle pour la victime d'une violation de données comme celle-ci ?
Quelle valeur d'identification devrions-nous accorder aux seuls numéros d'identification, compte tenu de la fréquence et de l'ampleur de leur partage ces jours-ci ?
Selon le gouvernement australien, le risque est suffisamment important pour que les victimes de la violation soient invitées à remplacer les documents concernés.
Et avec peut-être des millions d'utilisateurs concernés, les frais de renouvellement des documents pourraient à eux seuls s'élever à des centaines de millions de dollars et nécessiter l'annulation et la réémission d'une proportion importante des permis de conduire du pays.
Nous estimons qu'environ 16 millions d'Australiens ont des licences et sont enclins à les utiliser comme pièce d'identité en Australie au lieu de transporter leur passeport. Alors, si le optusdata L'affiche de BreachForum disait la vérité, et près de 4 millions de numéros de licence ont été volés, près de 25% de toutes les licences australiennes pourraient avoir besoin d'être remplacées. Nous ne savons pas à quel point cela pourrait être utile dans le cas des permis de conduire australiens, qui sont délivrés par des États et territoires individuels. Au Royaume-Uni, par exemple, votre numéro de permis de conduire est bien évidemment dérivé de manière algorithmique de votre nom et de votre date de naissance, avec une quantité très modeste de mélange et seulement quelques caractères aléatoires insérés. Une nouvelle licence obtient donc un nouveau numéro très similaire au précédent.
Ceux qui n'ont pas de licence ou les visiteurs qui ont acheté des cartes SIM auprès d'Optus sur la base d'un passeport étranger devraient remplacer leur passeport à la place - un remplacement de passeport australien coûte près de 193 dollars australiens, un passeport britannique coûte entre 75 et 85 livres sterling et un renouvellement aux États-Unis coûte entre 130 $ et 160 $.
(Il y a aussi la question des délais d'attente : l'Australie conseille actuellement que le remplacement du passeport prendra au moins 6 semaines [2022-09-28T13:50Z], et cela sans augmentation soudaine causée par un traitement lié à une violation ; au Royaume-Uni, en raison de arriérés existants, le gouvernement de Sa Majesté demande actuellement aux candidats de prévoir 10 semaines pour le renouvellement du passeport.)
Qui supporte le coût ?
Bien sûr, si le remplacement de tous les identifiants potentiellement compromis est jugé nécessaire, la question brûlante est la suivante : "Qui va payer ?"
Selon le Premier ministre australien, Anthony Albanese, il ne fait aucun doute d'où devrait provenir l'argent pour remplacer les passeports :
Cet après midi @albomp a donné au parlement une mise à jour importante sur la faille de sécurité d'Optus.
Non seulement nous demandons à Optus de payer les passeports de remplacement pour les personnes touchées par la violation, mais nous nous engageons également à renforcer nos lois sur la protection de la vie privée par le biais de la révision de la Loi sur la protection des renseignements personnels. pic.twitter.com/JyoRJxyM3p
— Députée Clare O'Neil (@ClareONeilMP) 28 septembre 2022
Il n'y a aucun mot de la législature fédérale sur le remplacement des permis de conduire, cette question étant gérée par les gouvernements des États et des Territoires…
… et on ne sait pas si "remplacer tous les documents" deviendra une réaction de routine chaque fois qu'une violation impliquant un document d'identité est signalée, ce qui pourrait facilement submerger la fonction publique, étant donné que les licences et les passeports sont généralement censés durer 10 ans chacun.
Surveillez cet espace - cela semble prêt à devenir intéressant !
