0
0
A gigante australiana de telecomunicações Optus está recebendo ajuda do FBI para investigar o que parece ter sido uma violação facilmente evitável que acabou expondo dados confidenciais de quase 10 milhões de clientes.
Enquanto isso, o aparente hacker ou hackers por trás da violação na terça-feira retirou sua demanda por um resgate de US$ 1 milhão junto com uma ameaça de liberar lotes dos dados roubados até que o resgate fosse pago. O agente da ameaça também alegou que excluiu todos os dados roubados da Optus. A aparente mudança de opinião, no entanto, ocorreu depois que o invasor já havia divulgado uma amostra de cerca de 10.200 registros de clientes, aparentemente como prova de intenção.
Segundas intenções
O motivo do invasor para retirar o pedido de resgate e a ameaça de vazamento de dados permanece obscuro. Mas em um comunicado postado em um fórum da Dark Web – e republicado em databreaches.net – o suposto invasor aludiu a “muitos olhos” vendo os dados como sendo um dos motivos. “Não venderemos dados para ninguém”, dizia a nota. “Não podemos, se quisermos: dados excluídos pessoalmente da unidade (somente cópia).”
O atacante também pediu desculpas à Optus e aos 10.200 clientes cujos dados vazaram: “A Austrália não verá ganhos em fraudes, isso pode ser monitorado. Talvez para 10.200 australianos, mas o restante da população não. Sinto muito para você.”
É improvável que o pedido de desculpas e as alegações do invasor de excluir os dados roubados atenuem as preocupações em torno do ataque, que foi descrito como a maior violação de todos os tempos na Austrália.
A Optus divulgou a violação pela primeira vez em 21 de setembro e, em uma série de atualizações desde então, a descreveu como afetando clientes atuais e anteriores dos clientes de banda larga, móvel e comercial da empresa a partir de 2017. De acordo com a empresa, a violação pode ter potencialmente exposto nomes de clientes, datas de nascimento, números de telefone, endereços de e-mail e – para um subconjunto de clientes – seus endereços completos, informações de carteira de motorista ou números de passaporte.
Práticas de segurança Optus sob o microscópio
A violação despertou preocupações de fraude de identidade generalizada e levou a Optus a – entre outras medidas – trabalhar com diferentes governos estaduais australianos para discutir o potencial de alterar os detalhes da carteira de motorista de indivíduos afetados às custas da empresa. “Quando entrarmos em contato, colocaremos um crédito em sua conta para cobrir qualquer custo de substituição relevante. Faremos isso automaticamente, para que você não precise entrar em contato conosco”, informou a Optus aos clientes. “Se você não tiver notícias nossas, significa que sua carteira de motorista não precisa ser alterada.”
O comprometimento de dados colocou as práticas de segurança da Optus sob os holofotes, especialmente porque parece ter resultado de um erro fundamental. A Australian Broadcasting Corporation (ABC) em 22 de setembro citou uma “figura sênior” não identificada dentro da Optus dizendo que o invasor foi basicamente capaz de acessar o banco de dados por meio de uma interface de programação de aplicativos (API) não autenticada.
A fonte supostamente disse à ABC que o banco de dados de identidade do cliente ao vivo que o invasor acessou estava conectado por meio de uma API desprotegida à Internet. A suposição era de que apenas os sistemas Optus autorizados usariam a API. Mas, de alguma forma, acabou sendo exposto a uma rede de teste, que estava diretamente conectada à Internet, segundo a ABC citou a fonte.
A ABC e outros meios de comunicação descreveram a CEO da Optus, Kelly Bayer Rosmarin, como insistindo que a empresa foi vítima de um ataque sofisticado e que os dados que o invasor alegou ter acessado foram criptografados.
Se o relatório sobre a API exposta for verdadeiro, a Optus foi vítima de um erro de segurança que muitos outros cometem. “A autenticação de usuário quebrada é uma das vulnerabilidades de API mais comuns”, diz Adam Fisher, arquiteto de soluções da Salt Security. “Os invasores os procuram primeiro porque as APIs não autenticadas não se esforçam para violar”.
APIs abertas ou não autenticadas geralmente são o resultado da equipe de infraestrutura ou da equipe que gerencia a autenticação, configurando algo errado, diz ele. “Como é preciso mais de uma equipe para executar um aplicativo, a falta de comunicação ocorre com frequência”, diz Fisher. Ele observa que as APIs não autenticadas ocupam o segundo lugar na lista da OWASP das 10 principais vulnerabilidades de segurança da API.
Um relatório encomendado pela Imperva no início deste ano identificou que as empresas dos EUA incorreram entre US$ 12 bilhões e US$ 23 bilhões em perdas por comprometimentos vinculados à API apenas em 2022 . vazamento de dados e outros problemas decorrentes de lapsos de segurança da API.
Atacante “Assustado”?
O FBI não respondeu imediatamente a um pedido de comentário do Dark Reading por meio do endereço de e-mail da assessoria de imprensa nacional, mas o Guardian e outros relataram que a agência de aplicação da lei dos EUA foi chamada para ajudar na investigação. A Polícia Federal australiana , que está investigando a violação da Optus, disse que está trabalhando com a polícia no exterior para rastrear o indivíduo ou grupo responsável por isso.
Casey Ellis, fundador e CTO da Bugcrowd, empresa de recompensas de bugs, diz que o intenso escrutínio que a violação recebeu do governo australiano, do público e da aplicação da lei pode ter assustado o invasor. “É bastante raro que esse tipo de interação seja tão espetacular quanto essa”, diz ele. “Comprometer quase metade da população de um país vai atrair muita atenção muito intensa e muito poderosa, e os atacantes envolvidos aqui claramente subestimaram isso”.
A resposta deles sugere que os atores da ameaça são muito jovens e provavelmente muito novos na conduta criminosa, pelo menos nessa escala, observa ele.
“Claramente, o governo australiano levou essa violação muito a sério e está perseguindo o atacante vorazmente”, acrescenta Fisher. “Esta forte resposta pode ter pego o atacante desprevenido”, e provavelmente levou a uma segunda reflexão. “No entanto, infelizmente, os dados já estão disponíveis. Uma vez que uma empresa se encontra nas notícias como esta, todo hacker presta atenção.”
FONTE: DARK READING