La intrusión cibernética de la semana pasada en la empresa de telecomunicaciones australiana Optus, que tiene alrededor de 10 millones de clientes, ha provocado la ira del gobierno del país sobre cómo la empresa violada debe manejar los detalles de identificación robados.
Darkweb capturas de pantalla emergió rápidamente después del ataque, con un subterráneo BreachForos usuario que va por el nombre claro de optusdata ofreciendo dos tramos de datos, alegando que tenían dos bases de datos de la siguiente manera:
11,200,000 registros de usuarios con nombre, fecha de nacimiento, número de móvil y DNI 4,232,652 registros incluían algún tipo de documento de identificación número 3,664,598 de los DNI eran de permisos de conducir 10,000,000 registros de direcciones con correo electrónico, fecha de nacimiento, DNI y más 3,817,197 tenían número de documento de identificación 3,238,014 de las identificaciones eran de licencias de conducir
El vendedor escribió, “¡Optus si estás leyendo! ¡El precio para que no vendamos [sic] los datos es de 1,000,000 1 XNUMX $US! Te damos XNUMX semana para decidir.”
Los compradores regulares, dijo el vendedor, podrían tener las bases de datos por $300,000 como lote de trabajo, si Optus no acepta su oferta de "acceso exclusivo" de $1 millón dentro de la semana.
El vendedor dijo que esperaba el pago en forma de Monero, una criptomoneda popular que es más difícil de rastrear que Bitcoin.
Las transacciones de Monero son mezclados como parte del protocolo de pago, convirtiendo al ecosistema de Monero en una especie de vaso de criptomonedas o anonimizador por derecho propio.
¿Qué ha pasado?
La violación de datos en sí aparentemente se debió a la falta de seguridad en lo que se conoce en la jerga como un Punto final API. (API es la abreviatura de Interfaz de programación de aplicaciones, una forma predefinida para que una parte de una aplicación, o colección de aplicaciones, solicite algún tipo de servicio o recupere datos de otra).
En la web, los puntos finales de la API normalmente toman la forma de URL especiales que activan un comportamiento específico o devuelven datos solicitados, en lugar de simplemente servir una página web.
Por ejemplo, una URL como https://www.example.com/about podría simplemente enviar una página web estática en formato HTML, como:
About this site
This site is just an example, as the URL implies.
Por lo tanto, visitar la URL con un navegador daría como resultado una página web con el aspecto esperado:
Pero una URL como https://api.example.com/userdata?id=23de6731e9a7 podría devolver un registro de base de datos específico para el usuario especificado, como si hubiera realizado una llamada de función en un programa C similar a:
/* Typedefs and prototypes */ typedef struct USERDATA UDAT; UDAT* alloc_new_userdata(void); int get_userdata(UDAT* buff, const char* uid); /* Get a record */ UDAT* datarec = alloc_new_userdata(); int err = get_userdata(datarec,"23de6731e9a7");
Suponiendo que el ID de usuario solicitado existiera en la base de datos, llamar a la función equivalente a través de una solicitud HTTP al punto final podría generar una respuesta en formato JSON, como esta:
{
"userid" : "23de6731e9a7",
"nickname" : "duck",
"fullname" : "Paul Ducklin",
"IDnum" : "42-4242424242"
}
En una API de este tipo, probablemente esperaría que se implementaran varias precauciones de seguridad cibernética, como:
- Autenticación Es posible que cada solicitud web deba incluir un encabezado HTTP que especifique una cookie de sesión aleatoria (no adivinable) emitida a un usuario que haya probado recientemente su identidad, por ejemplo, con un nombre de usuario, contraseña y código 2FA. Este tipo de cookie de sesión, normalmente válida solo por un tiempo limitado, actúa como un pase de acceso temporal para las solicitudes de búsqueda realizadas posteriormente por el usuario autenticado previamente. Por lo tanto, las solicitudes de API de usuarios no autenticados o desconocidos pueden rechazarse instantáneamente.
- Restricciones de acceso. Para búsquedas en bases de datos que podrían recuperar datos de identificación personal (PII), como números de identificación, domicilios particulares o detalles de tarjetas de pago, el servidor que acepta solicitudes de puntos finales de API podría imponer protección a nivel de red para filtrar solicitudes que provienen directamente de Internet. Por lo tanto, un atacante primero tendría que comprometer un servidor interno y no podría sondear datos directamente a través de Internet.
- Identificadores de bases de datos difíciles de adivinar. Aunque seguridad a través de la oscuridad (también conocido como "nunca lo adivinarán") es una base subyacente deficiente para la seguridad cibernética, no tiene sentido hacer las cosas más fáciles de lo necesario para los delincuentes. Si su propio ID de usuario es
00000145, y sabes que un amigo que se registró justo después de que obtuviste00000148, entonces es una buena suposición que los valores de ID de usuario válidos comienzan en00000001y sube desde allí. Los valores generados aleatoriamente dificultan que los atacantes que ya han encontrado una laguna en su control de acceso ejecuten un bucle que intenta una y otra vez recuperar los ID de usuario probables. - Limitación de velocidad. Cualquier secuencia repetitiva de solicitudes similares se puede utilizar como un IoC potencial, o indicador de compromiso. Los ciberdelincuentes que desean descargar 11,000,000 XNUMX XNUMX de elementos de la base de datos generalmente no usan una sola computadora con un solo número de IP para hacer todo el trabajo, por lo que los ataques de descarga masiva no siempre son inmediatamente obvios solo desde los flujos de red tradicionales. Pero a menudo generarán patrones y tasas de actividad que simplemente no coinciden con lo que esperarías ver en la vida real.
Aparentemente, pocas o ninguna de estas protecciones se implementaron durante el ataque de Optus, en particular, incluida la primera...
… lo que significa que el atacante pudo acceder a la PII sin necesidad de identificarse en absoluto, y mucho menos robar el código de inicio de sesión de un usuario legítimo o la cookie de autenticación para ingresar.
De alguna manera, al parecer, un punto final de API con acceso a datos confidenciales se abrió a Internet en general, donde un ciberdelincuente lo descubrió y abusó de él para extraer información que debería haber estado detrás de algún tipo de rastrillo de ciberseguridad.
Además, si se cree en la afirmación del atacante de haber recuperado un total de más de 20,000,000 XNUMX XNUMX de registros de bases de datos de dos bases de datos, asumimos [a] que Optus userid los códigos se calcularon o adivinaron fácilmente, y [b] que ninguna advertencia de "acceso a la base de datos ha alcanzado niveles inusuales" se disparó.
Desafortunadamente, Optus no ha sido muy claro acerca de cómo el ataque desplegado, diciendo simplemente:
P. ¿Cómo sucedió esto?
A. Optus fue víctima de un ciberataque. […]
P. ¿Se ha detenido el ataque?
R. Sí. Al descubrir esto, Optus detuvo inmediatamente el ataque.
En otras palabras, parece que "cerrar el ataque" implicaba cerrar la laguna contra más intrusiones (por ejemplo, bloqueando el acceso al punto final de la API no autenticado) en lugar de interceptar el ataque inicial después de que solo se hubiera robado una cantidad limitada de registros. .
Sospechamos que si Optus hubiera detectado el ataque mientras aún estaba en curso, la compañía habría indicado en sus preguntas frecuentes qué tan lejos habían llegado los delincuentes antes de que se cerrara su acceso.
¿Qué sigue?
¿Qué sucede con los clientes cuyos números de pasaporte o licencia de conducir quedaron expuestos?
¿Cuánto riesgo representa la filtración de un número de documento de identidad, en lugar de detalles más completos del documento en sí (como un escaneo de alta resolución o una copia certificada), que representa para la víctima de una violación de datos como esta?
¿Cuánto valor de identificación deberíamos dar a los números de identificación por sí solos, dada la amplitud y frecuencia con la que los compartimos en estos días?
Según el gobierno australiano, el riesgo es lo suficientemente importante como para recomendar a las víctimas de la violación que reemplacen los documentos afectados.
Y con posiblemente millones de usuarios afectados, los cargos por renovación de documentos por sí solos podrían ascender a cientos de millones de dólares y requerir la cancelación y nueva emisión de una proporción significativa de las licencias de conducir del país.
Estimamos que alrededor de 16 millones de australianos tienen licencias y tienden a usarlas como identificación dentro de Australia en lugar de llevar consigo sus pasaportes. Entonces, si el optusdata El cartel de BreachForum decía la verdad, y se robaron cerca de 4 millones de números de licencia, cerca del 25% de todas las licencias australianas podrían necesitar reemplazo. No sabemos qué tan útil podría ser esto en el caso de las licencias de conducir australianas, que son emitidas por estados y territorios individuales. En el Reino Unido, por ejemplo, su número de licencia de conducir obviamente se deriva algorítmicamente de su nombre y fecha de nacimiento, con una cantidad muy modesta de barajado y solo unos pocos caracteres aleatorios insertados. Por lo tanto, una nueva licencia obtiene un nuevo número que es muy similar al anterior.
Aquellos sin licencia, o los visitantes que hayan comprado tarjetas SIM de Optus con un pasaporte extranjero, deberán reemplazar sus pasaportes: un reemplazo de pasaporte de Australia cuesta cerca de AU $ 193, un pasaporte del Reino Unido cuesta £ 75 a £ 85 y una renovación en EE. UU. es de $ 130 a $ 160.
(También está la cuestión de los tiempos de espera: Australia actualmente informa que el pasaporte de reemplazo tomará al menos 6 semanas [2022-09-28T13:50Z], y eso es sin un aumento repentino causado por el procesamiento relacionado con la violación; en el Reino Unido, debido a retrasos existentes, el Gobierno de Su Majestad actualmente les está diciendo a los solicitantes que esperen 10 semanas para la renovación del pasaporte).
¿Quién asume el costo?
Por supuesto, si se considera necesario reemplazar todas las identificaciones potencialmente comprometidas, la pregunta candente es: "¿Quien pagará?"
Según el primer ministro australiano, Anthony Albanese, no hay duda de dónde debería provenir el dinero para reemplazar los pasaportes:
Esta tarde @albomp le dio al parlamento una actualización importante sobre la brecha de seguridad de Optus.
No solo exigimos que Optus pague por los pasaportes de reemplazo para los afectados por la infracción, sino que también nos comprometemos a fortalecer nuestras leyes de privacidad a través de la revisión de la Ley de privacidad. pic.twitter.com/JyoRJxyM3p
— Clare O'Neil MP (@ClareONeilMP) 28 de septiembre de 2022
No hay noticias de la legislatura federal sobre la sustitución de las licencias de conducir, siendo ese un asunto manejado por los gobiernos estatales y territoriales...
…y no se sabe si “reemplazar todos los documentos” se convertirá en una reacción de rutina cada vez que se informe una violación que involucre un documento de identidad, algo que fácilmente podría inundar el servicio público, dado que generalmente se espera que las licencias y los pasaportes duren 10 años cada uno.
Mire este espacio: ¡parece que se pondrá interesante!
