كيف حدث اختراق بيانات Optus وكيفية تجنبه؟
استكشف الثغرات الأمنية الرئيسية وراء اختراق بيانات Optus عام 2022 والذي أثر على 10 ملايين عميل. تعرف على أفضل الممارسات مثل أمان واجهة برمجة التطبيقات وبروتوكولات المصادقة القوية.
تمت ترجمة هذه الصفحة تلقائياً. اقرأ النسخة الأصلية باللغة الإنجليزية هنا.
Passkeys لأستراليا. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.
- كانت واجهة برمجة التطبيقات (API) العامة غير المؤمنة متاحة لأي شخص على الإنترنت لمدة تصل إلى ثلاثة أشهر، مما أتاح الاسترداد المباشر للبيانات الحساسة لما يقرب من 10 ملايين من عملاء Optus.
- سمحت معرفات العملاء المتسلسلة (مثل 5332، 5333) للمهاجمين بأتمتة استخراج قاعدة البيانات بالكامل باستخدام برنامج نصي بسيط، مما أدى إلى تسريع حجم وسرعة الاختراق.
- أدى خطأ برمجي في عام 2018 إلى إضعاف ضوابط الوصول، وتم تصحيحه على موقع Optus الرئيسي بحلول أغسطس 2021 ولكن لم يتم تطبيقه مطلقاً على نطاق ثانوي، والذي ظل مكشوفاً حتى اختراق عام 2022.
- تعد واجهات برمجة التطبيقات بدون مصادقة ثاني أكثر الثغرات الأمنية شيوعاً وفقاً لـ OWASP. تعد المصادقة متعددة العوامل (MFA) على كل طلب اتصال واختبار الاختراق من التدابير المضادة الموصى بها لمنع الاستغلال.
1. مقدمة#
في سبتمبر 2022، تعرضت شركة Optus، إحدى الشركات الرائدة في تقديم خدمات الاتصالات في أستراليا، لاختراق بيانات أدى إلى كشف المعلومات الشخصية لما يقرب من 10 ملايين عميل. كان هذا الحادث أحد أكبر الهجمات الإلكترونية في التاريخ الأسترالي، مما أدى إلى مخاوف كبيرة بشأن خصوصية البيانات والممارسات الأمنية في البلاد.
احصل على تقييم مجاني لـ passkey خلال 15 دقيقة.
سيركز هذا المقال على الأسئلة التالية:
- ما هي الثغرات الأمنية التي كانت لدى Optus وأدت إلى اختراق البيانات؟
- ما هي بعض طرق التدابير المضادة التي كان بإمكان Optus استخدامها لتجنب الاختراق الأمني؟
أحدث المقالات
🔑
ما الذي يجعل التعامل الآمن مع المستندات أمراً ضرورياً للمؤسسات الحديثة؟
♟️
مشكلات مفاتيح المرور في اليوم الثاني: 5 مخاطر بعد الإطلاق
♟️
لماذا سيتم اختراق حتى كلمة مرورك الأكثر تعقيداً قريباً
♟️
إعادة استخدام كلمات المرور في اليابان: لا تزال النسبة 84% [2026]
♟️
دور الذكاء الاصطناعي في اكتشاف التهديدات السيبرانية
2. الثغرات الأمنية التي أدت إلى اختراق بيانات Optus#
فيما يلي، ستجد 5 ثغرات أمنية في اختراق البيانات في Optus.
جرّب passkeys في عرض مباشر.
2.1 الثغرة الأمنية #1: واجهة برمجة تطبيقات (API) عامة مكشوفة#
كانت أول ثغرة أمنية كبيرة في اختراق Optus هي استخدام واجهة برمجة تطبيقات (API) عامة سهلت الوصول إلى البيانات الداخلية الحساسة. تم تصميم واجهات برمجة التطبيقات العامة لتمكين الأنظمة الخارجية من التفاعل مع خدمات الشركة، ولكن عندما لا يتم تأمين واجهات برمجة التطبيقات هذه بشكل صحيح، يمكن أن تصبح بوابة للمهاجمين.
ما هي استخدامات واجهات برمجة التطبيقات العامة؟
توفر واجهات برمجة التطبيقات العامة الآمنة، مثل Google Maps API أو Weather API، بيانات محدودة وغير حساسة للأنظمة الخارجية. وهي مصممة لعزل أي بيانات مشتركة عن العمليات التجارية الأساسية، مما يجعلها أكثر أماناً بطبيعتها.
لماذا تمثل واجهات برمجة التطبيقات العامة مشكلة في هذه الحالة؟
على عكس واجهات برمجة التطبيقات الآمنة، كشفت واجهة برمجة تطبيقات Optus عن معلومات حساسة للعملاء وافتقرت إلى الضمانات الأساسية. وهذا جعلها عرضة للمهاجمين الذين يمكنهم تحديد موقعها من خلال عمليات المسح على الإنترنت.
كيف يمكن للمهاجمين استغلال واجهة برمجة التطبيقات هذه؟
بدون مصادقة أو عزل للبيانات، يمكن للمهاجمين الاتصال مباشرة بواجهة برمجة التطبيقات واسترداد معلومات العملاء السرية، متجاوزين التدابير الأمنية الداخلية.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study2.2 الثغرة الأمنية #2: واجهة برمجة تطبيقات غير مؤمنة تمنح حق الوصول إلى بيانات العملاء الحساسة#
كانت الثغرة الأمنية الرئيسية الثانية في اختراق بيانات Optus هي أن واجهة برمجة التطبيقات لم تكن مؤمنة. وبالتالي فقد منحت حق الوصول إلى بيانات عملاء حساسة للغاية. بينما كانت المشكلة الأولى تتمحور حول كون واجهة برمجة التطبيقات عامة، كانت المشكلة الحرجة هنا هي افتقارها إلى ضوابط الوصول المناسبة، مما سمح بالوصول غير المقيد إلى المعلومات السرية.
عندما يصل عميل Optus إلى حسابه من خلال تطبيق Optus للأجهزة المحمولة أو موقع الويب، تسهل واجهات برمجة التطبيقات الاتصال بين الواجهة الأمامية والأنظمة الخلفية لاسترداد البيانات اللازمة. غالباً ما تتعامل هذه العمليات الخلفية مع معلومات حساسة لتحميل ملفات تعريف العملاء.
في هذه الحالة، وفرت واجهة برمجة التطبيقات المكشوفة للمهاجمين وصولاً مباشراً إلى الأنواع التالية من البيانات الشخصية، والتي تعد ذات قيمة خاصة لسرقة الهوية والاحتيال:
• أرقام رخص القيادة • أرقام الهواتف • تواريخ الميلاد • عناوين المنازل
كشف تحليل لسجلات نظام أسماء النطاقات (DNS) العامة لاحقاً أن واجهة برمجة التطبيقات هذه كانت على الأرجح عامة ويمكن لأي شخص على الإنترنت الوصول إليها لمدة تصل إلى ثلاثة أشهر.
الورقة البيضاء للمؤسسات حول Passkeys. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.
2.3 الثغرة الأمنية #3: استخدام معرفات عملاء متزايدة#
كانت الثغرة الأمنية الثالثة في اختراق بيانات Optus هي استخدام معرفات عملاء متزايدة. في العالم الرقمي، تُستخدم معرفات العملاء الفريدة — المكونة من تسلسلات عشوائية من الأرقام والحروف — للتمييز بين الحسابات بشكل آمن. تفرض أفضل ممارسات الأمن السيبراني أن تكون هذه المعرفات عشوائية وغير مرتبطة، لمنع المتسللين من تحديد الأنماط.
معرف عميل Optus: في هذه الحالة، اتبعت معرفات العملاء نمطاً يمكن التنبؤ به، وتختلف بزيادة قدرها 1. على سبيل المثال، إذا كان معرف أحد العملاء هو 5332، فسيكون التالي هو 5333. بمجرد أن يتمكن المتسلل من الوصول إلى قاعدة البيانات، يمكنه كتابة برنامج نصي آلي لاسترداد كل سجل ببساطة عن طريق زيادة المعرف.
أدى هذا النهج الآلي إلى تسريع عملية سرقة البيانات، مما سمح للمهاجم باستخراج بيانات العملاء الحساسة على نطاق واسع. مكّن عيب التصميم الذي يمكن التنبؤ به اختراق Optus من الحدوث بشكل أسرع والتأثير على عدد أكبر من العملاء مما كان ممكناً لولا ذلك.
2.4 الثغرة الأمنية #4: ضعف ضوابط الوصول بسبب خطأ برمجي#
بصرف النظر عن ثغرات واجهة برمجة التطبيقات (API) ومعرف العميل، كانت هناك مشاكل أمنية أخرى: في عام 2018، أدى خطأ برمجي إلى إضعاف ضوابط الوصول على نطاقات معينة لـ Optus، مما جعلها أقل أماناً. على الرغم من أن Optus قامت بإصلاح هذه المشكلة على موقعها الرئيسي في أغسطس 2021، إلا أنها فشلت في تطبيق نفس الإصلاح على موقع ويب ثانوي كان متاحاً على الإنترنت. ظل هذا النطاق الثانوي ضعيفاً حتى تم اكتشاف الاختراق في سبتمبر 2022.
ترك هذا السهو فجوة أمنية كبيرة. تعد النطاقات العامة هدفاً شائعاً للمهاجمين، وأي ثغرة غير مصححة تزيد من خطر الوصول غير المصرح به. في هذه الحالة، جعل الخطأ البرمجي من الممكن للمهاجمين تجاوز ضوابط الوصول والوصول إلى البيانات الحساسة.
يمكن أن يؤدي التغاضي عن النطاقات الثانوية أو الأقل وضوحاً إلى ترك ثغرات حرجة مفتوحة، والتي يمكن للمهاجمين استغلالها بسهولة. تعد عمليات التدقيق المنتظمة والاختبار الشامل ضرورية لضمان تطبيق التحديثات الأمنية في كل مكان تشتد الحاجة إليها.
2.5 الثغرة الأمنية #5: النطاق الثاني الضعيف#
امتد هذا النقص في الإشراف المناسب إلى النطاق الثانوي، الذي لعب دوراً رئيسياً في الاختراق. على الرغم من أن النطاق لم يكن قيد الاستخدام بنشاط، إلا أنه ظل متصلاً بالإنترنت وغير محمي لفترة طويلة. على الرغم من كونه غير ضروري للعمليات اليومية، إلا أنه لم يتم تأمينه بضوابط وصول مناسبة ولم يتم إيقاف تشغيله، مما خلق نقطة دخول سهلة للمهاجمين لاستغلالها.
حتى عندما لا تكون قيد الاستخدام النشط، يمكن أن تظل مثل هذه النطاقات بمثابة نواقل للهجوم إذا كانت هناك ثغرات. للتخفيف من هذه المخاطر، يجب على الشركات التدقيق بانتظام في أصولها الرقمية، أو إيقاف تشغيل النطاقات غير المستخدمة على الفور، أو تطبيق نفس مستوى الأمان كالأنظمة النشطة.
3. كيف تتجنب اختراقات البيانات هذه؟#
لمنع اختراقات البيانات المشابهة لاختراق Optus والتخفيف من مخاطر الإضرار بالسمعة، يمكن للمؤسسات اعتماد استراتيجيات أمنية مختلفة يمكنك العثور عليها فيما يلي:
3.1 التدبير المضاد #1: الرجوع إلى مشروع OWASP API Security#
يعد مشروع OWASP API Security مورداً يتم تحديثه بانتظام ويسلط الضوء على مخاطر أمان واجهة برمجة التطبيقات (API) المعروفة. من الضروري لفرق الأمن السيبراني مراقبة قاعدة البيانات هذه بشكل روتيني لتحديد ومعالجة الثغرات التي يمكن أن تؤثر على أعمالهم. وهو يغطي مجموعة واسعة من المخاطر المحتملة، على سبيل المثال:
-
تفويض مستوى الكائن المعطل (Broken Object Level Authorization - BOLA): ثغرات في أذونات وصول المستخدم تسمح بالوصول غير المصرح به للبيانات.
-
التعرض المفرط للبيانات (Excessive Data Exposure): واجهات برمجة التطبيقات التي تُرجع معلومات أكثر من اللازم، مما يزيد من خطر تسرب البيانات الحساسة.
-
التكوينات الأمنية الخاطئة (Security Misconfigurations): الإعدادات أو الإعدادات الافتراضية غير المتوافقة التي تعرض واجهات برمجة التطبيقات الحساسة للهجمات.
-
ثغرات الحقن (Injection Flaws): استغلال المهاجمين لواجهات برمجة التطبيقات لحقن أوامر أو بيانات ضارة.
3.2 التدبير المضاد #2: تأمين جميع واجهات برمجة التطبيقات ببروتوكول مصادقة#
يسلط مشروع OWASP API Security الضوء على واجهات برمجة التطبيقات غير المصادق عليها باعتبارها ثاني أكثر ثغرات واجهة برمجة التطبيقات شيوعاً. لا تتطلب واجهات برمجة التطبيقات هذه اسم مستخدم أو كلمة مرور أو أي طريقة مصادقة أخرى لإنشاء اتصال، مما يجعلها عرضة بشدة للاستغلال. لعب هذا النوع من الضعف دوراً مركزياً في اختراق بيانات Optus.
في بعض الحالات، تُترك واجهات برمجة التطبيقات بدون مصادقة عن قصد للحفاظ على التوافق مع الأنظمة القديمة أو لأغراض الاختبار. من المحتمل أن Optus تركت واجهة برمجة التطبيقات الخاصة بها بدون مصادقة لأسباب مماثلة. ومع ذلك، بغض النظر عن مدى أهمية الاختبار أو متطلبات النظام القديم، فإن نشر أي واجهة برمجة تطبيقات — سواء كانت داخلية أو عامة — بدون مصادقة يمثل خطراً أمنياً كبيراً.
كيفية منع استغلال واجهة برمجة التطبيقات غير المصادق عليها
لحماية واجهات برمجة التطبيقات الخاصة بك، يجب تأمين كل طلب اتصال باستخدام المصادقة متعددة العوامل (MFA). تضيف MFA طبقة إضافية من الحماية من خلال طلب أشكال متعددة من التحقق، مما يجعلها واحدة من أكثر الطرق فعالية ومباشرة لمنع الوصول غير المصرح به إلى واجهات برمجة التطبيقات وحسابات المستخدمين.
تحديد ثغرات واجهة برمجة التطبيقات المخفية
تكون سياسة أمان واجهة برمجة التطبيقات فعالة فقط إذا تم حساب جميع واجهات برمجة التطبيقات التي تتطلب الحماية. ولكن ماذا يحدث إذا كانت مؤسستك مكشوفة دون علم بواسطة واجهة برمجة تطبيقات عامة، كما كان الحال مع Optus؟
يصعب اكتشاف واجهات برمجة التطبيقات المخفية أو التي تم تجاهلها باستخدام أدوات المسح القياسية. الطريقة الأكثر فعالية للكشف عنها هي من خلال اختبار الاختراق لكشف ثغرات مثل:
-
آليات المصادقة الضعيفة: الأنظمة التي تقبل كلمات مرور بنص عادي أو بيانات اعتماد مجزأة بشكل سيئ.
-
التعرض لحشو بيانات الاعتماد أو هجمات القوة الغاشمة (Brute Force): استغلال أسماء المستخدمين وكلمات المرور المسروقة على نطاق واسع.
-
معالجة معلمات واجهة برمجة التطبيقات: الكشف عن تفاصيل مصادقة حساسة في عناوين URL أو الاستجابات.
اشترك في Passkeys Substack للحصول على آخر الأخبار.
4. الخاتمة#
في الختام، يؤكد اختراق بيانات Optus على الأهمية الحاسمة لتنفيذ تدابير قوية للأمن السيبراني والتدقيق المنتظم للأصول الرقمية. ساهم الفشل في تأمين واجهات برمجة التطبيقات (APIs)، وفرض بروتوكولات المصادقة المناسبة، ومعالجة الثغرات التي تم تجاهلها في النطاقات الثانوية بشكل كبير في هذا الحادث. من خلال اعتماد أفضل الممارسات في الصناعة، مثل تلك الموضحة في مشروع OWASP API Security، وإعطاء الأولوية لاستراتيجيات الأمان الشاملة، يمكن للمؤسسات الحماية من الاختراقات المماثلة، وحماية بيانات العملاء الحساسة، والأهم من ذلك الحفاظ على ثقة مستخدميها.
حول Corbado
Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →
الأسئلة الشائعة#
ما هي البيانات الشخصية التي سُرقت في اختراق Optus ولماذا هي ضارة جداً؟#
منحت واجهة برمجة التطبيقات (API) المكشوفة المهاجمين وصولاً مباشراً إلى أرقام رخص القيادة وأرقام الهواتف وتواريخ الميلاد وعناوين المنازل. تعد أنواع البيانات هذه ذات قيمة خاصة لسرقة الهوية والاحتيال، مما يجعل الاختراق ضاراً بشكل خاص للعملاء المتأثرين.
لماذا تترك شركة ما واجهة برمجة التطبيقات (API) بدون مصادقة في المقام الأول؟#
في بعض الأحيان، تُترك واجهات برمجة التطبيقات بدون مصادقة عن قصد للحفاظ على التوافق مع الأنظمة القديمة أو لأغراض الاختبار، وهو ما كان على الأرجح هو الحال بالنسبة لـ Optus. ومع ذلك، يعد نشر أي واجهة برمجة تطبيقات، سواء كانت داخلية أو عامة، بدون مصادقة خطراً أمنياً كبيراً بغض النظر عن المبرر التشغيلي.
كيف يمكن لفرق الأمن اكتشاف واجهات برمجة التطبيقات المخفية أو التي تم تجاهلها قبل أن يستغلها المهاجمون؟#
تكافح أدوات المسح القياسية لاكتشاف واجهات برمجة التطبيقات المخفية أو التي تم تجاهلها. النهج الأكثر فعالية هو اختبار الاختراق، والذي يمكن أن يكشف عن آليات المصادقة الضعيفة، والتعرض لهجمات حشو بيانات الاعتماد، وتفاصيل المصادقة الحساسة التي يتم الكشف عنها في عناوين URL أو استجابات واجهة برمجة التطبيقات.
ما هو مشروع OWASP API Security وكيف يساعد المؤسسات على تجنب اختراقات مثل Optus؟#
يعد مشروع OWASP API Security مورداً يتم تحديثه بانتظام ويفهرس المخاطر الأمنية المعروفة لواجهة برمجة التطبيقات مثل تفويض مستوى الكائن المعطل، والتعرض المفرط للبيانات، والتكوينات الأمنية الخاطئة، وثغرات الحقن. يجب على فرق الأمن السيبراني مراقبته بشكل روتيني لتحديد الثغرات الأمنية ومعالجتها قبل أن يتمكن المهاجمون من استغلالها.
شارك هذا المقال
مقالات ذات صلة
جدول المحتويات