Come è avvenuta la violazione dei dati di Optus e come evitarla?

1. Introduzione#

Nel settembre 2022, Optus, uno dei principali fornitori di telecomunicazioni australiani, ha subito una violazione dei dati che ha esposto le informazioni personali di quasi 10 milioni di clienti. Questo incidente ha segnato uno dei più grandi attacchi informatici nella storia dell'Australia, portando a forti preoccupazioni riguardo alla privacy dei dati e alle pratiche di sicurezza nel Paese.

Questo articolo si concentrerà sulle seguenti domande:

• Quali falle di sicurezza in Optus hanno portato alla violazione dei dati?
• Quali sono alcuni metodi di contromisura che Optus avrebbe potuto utilizzare per evitare la violazione della sicurezza?

2. Falle di sicurezza che hanno portato alla violazione dei dati di Optus#

Di seguito, troverai le 5 falle di sicurezza della violazione dei dati presso Optus.

2.1 Falla di sicurezza n. 1: API esposta al pubblico#

La prima grande falla di sicurezza nella violazione di Optus è stato l'uso di un'API (Application Programming Interface) esposta al pubblico che ha facilitato l'accesso a dati interni sensibili. Le API esposte al pubblico sono progettate per consentire ai sistemi esterni di interagire con i servizi di un'azienda, ma quando queste API non sono adeguatamente protette, possono diventare una via d'accesso per gli aggressori.

Per cosa vengono utilizzate le API esposte al pubblico?

Le API esposte al pubblico sicure, come ad esempio le API di Google Maps o le API meteorologiche, forniscono dati limitati e non sensibili ai sistemi esterni. Sono progettate per isolare qualsiasi dato condiviso dalle operazioni aziendali principali, rendendole intrinsecamente più sicure.

Perché le API esposte al pubblico sono un problema in questo caso?

A differenza delle API sicure, l'API di Optus esponeva informazioni sensibili dei clienti e mancava di garanzie essenziali. Ciò l'ha resa vulnerabile agli aggressori che potevano individuarla attraverso scansioni su Internet.

Come potevano gli aggressori sfruttare questa API?

Senza autenticazione o isolamento dei dati, gli aggressori potevano connettersi direttamente all'API e recuperare informazioni riservate dei clienti, aggirando le misure di sicurezza interne.

2.2 Falla di sicurezza n. 2: API non protetta che garantisce l'accesso a dati sensibili dei clienti#

La seconda grande falla di sicurezza nella violazione dei dati di Optus è stata che l'API non era protetta. Ha quindi concesso l'accesso a dati dei clienti altamente sensibili. Sebbene il primo problema riguardasse l'API esposta al pubblico, il problema critico qui era la mancanza di adeguati controlli di accesso, che consentiva un accesso illimitato a informazioni riservate.

Quando un cliente Optus accede al proprio account tramite l'app mobile o il sito web di Optus, le API facilitano la comunicazione tra i sistemi frontend e backend per recuperare i dati necessari. Questi processi backend spesso gestiscono informazioni sensibili per caricare i profili dei clienti.

In questo caso, l'API esposta ha fornito agli aggressori l'accesso diretto ai seguenti tipi di dati personali, che sono particolarmente preziosi per il furto d'identità e le frodi:

• Numeri di patente di guida
• Numeri di telefono
• Date di nascita
• Indirizzi di casa

Un'analisi dei record pubblici del Domain Name System (DNS) ha poi rivelato che questa API era probabilmente esposta al pubblico e accessibile a chiunque su Internet per un massimo di tre mesi.

2.3 Falla di sicurezza n. 3: Uso di identificatori dei clienti incrementali#

La terza falla di sicurezza nella violazione dei dati di Optus è stato l'uso di identificatori dei clienti incrementali. Nel mondo digitale, gli identificatori univoci dei clienti (composti da sequenze casuali di numeri e lettere) vengono utilizzati per differenziare in modo sicuro gli account. Le best practice di sicurezza informatica impongono che questi identificatori siano casuali e non correlati, per impedire agli hacker di identificare schemi.

Identificatore cliente Optus: In questo caso, gli identificatori dei clienti seguivano uno schema prevedibile, differendo con un incremento di 1. Ad esempio, se l'identificatore di un cliente era 5332, il successivo sarebbe stato 5333. Una volta ottenuto l'accesso al database, l'hacker poteva scrivere uno script automatico per recuperare ogni record semplicemente incrementando l'identificatore.

Questo approccio automatizzato ha accelerato il processo di furto dei dati, consentendo all'aggressore di esfiltrare dati sensibili dei clienti su larga scala. Il difetto di progettazione prevedibile ha permesso alla violazione di Optus di verificarsi più velocemente e di colpire più clienti di quanto sarebbe stato altrimenti possibile.

2.4 Falla di sicurezza n. 4: Controlli di accesso indeboliti a causa di un errore di codifica#

Oltre alle vulnerabilità delle API e degli ID dei clienti, c'erano altri problemi di sicurezza: nel 2018, un errore di codifica ha indebolito i controlli di accesso su alcuni domini Optus, rendendoli meno sicuri. Sebbene Optus abbia risolto questo problema sul suo sito web principale nell'agosto 2021, non ha applicato la stessa correzione a un sito web secondario che era accessibile su Internet. Questo dominio secondario è rimasto vulnerabile fino alla scoperta della violazione nel settembre 2022.

Questa svista ha lasciato un significativo divario di sicurezza. I domini esposti al pubblico sono un bersaglio comune per gli aggressori e qualsiasi difetto non corretto aumenta il rischio di accesso non autorizzato. In questo caso, l'errore di codifica ha reso possibile agli aggressori aggirare i controlli di accesso e accedere ai dati sensibili.

Trascurare domini secondari o meno visibili può lasciare aperte vulnerabilità critiche, che gli aggressori possono sfruttare con facilità. Audit regolari e test accurati sono essenziali per garantire che gli aggiornamenti di sicurezza vengano applicati ovunque siano necessari.

2.5 Falla di sicurezza n. 5: Secondo dominio vulnerabile#

Questa mancanza di adeguata supervisione si è estesa al dominio secondario, che ha avuto un ruolo chiave nella violazione. Sebbene il dominio non fosse in uso attivo, è rimasto online e non protetto per un periodo prolungato. Pur non essendo necessario per le operazioni quotidiane, non è stato né protetto con adeguati controlli di accesso né dismesso, creando un facile punto di ingresso che gli aggressori potevano sfruttare.

Anche quando non sono in uso attivo, tali domini possono comunque servire come vettori di attacco se esistono delle vulnerabilità. Per mitigare questi rischi, le aziende dovrebbero controllare regolarmente i propri asset digitali, dismettere tempestivamente i domini inutilizzati o applicare lo stesso livello di sicurezza dei sistemi attivi.

3. Come evitare tali violazioni dei dati?#

Per prevenire violazioni dei dati simili all'attacco a Optus e mitigare il rischio di danni alla reputazione, le organizzazioni possono adottare diverse strategie di sicurezza che puoi trovare di seguito:

3.1 Contromisura n. 1: Consultare l'OWASP API Security Project#

L'OWASP API Security Project è una risorsa regolarmente aggiornata che evidenzia i rischi noti per la sicurezza delle API. È essenziale che i team di sicurezza informatica monitorino costantemente questo database per identificare e affrontare le vulnerabilità che potrebbero influire sulla loro attività. Copre un'ampia gamma di rischi potenziali, ad esempio:

• Broken Object Level Authorization (BOLA): Lacune nelle autorizzazioni di accesso degli utenti che consentono l'accesso non autorizzato ai dati.

• Excessive Data Exposure: API che restituiscono più informazioni del necessario, aumentando il rischio di fughe di dati sensibili.

• Security Misconfigurations: Impostazioni o valori predefiniti non allineati che espongono ad attacchi API sensibili.

• Injection Flaws: Aggressori che sfruttano le API per iniettare comandi o dati dannosi.

3.2 Contromisura n. 2: Proteggere tutte le API con un protocollo di autenticazione#

L'OWASP API Security Project evidenzia le API non autenticate come la seconda vulnerabilità API più comune. Queste API non richiedono un nome utente, una password o qualsiasi altro metodo di autenticazione per stabilire una connessione, lasciandole altamente vulnerabili allo sfruttamento. Questo tipo di debolezza ha avuto un ruolo centrale nella violazione dei dati di Optus.

In alcuni casi, le API vengono intenzionalmente lasciate non autenticate per mantenere la compatibilità con i sistemi legacy o per scopi di test. È probabile che Optus abbia lasciato la sua API non autenticata per motivi simili. Tuttavia, non importa quanto critici possano essere i requisiti dei test o dei sistemi legacy, distribuire qualsiasi API, sia interna che pubblica, senza autenticazione è un rischio significativo per la sicurezza.

Come prevenire lo sfruttamento delle API non autenticate

Per salvaguardare le tue API, ogni richiesta di connessione dovrebbe essere protetta con l'Autenticazione a più fattori (MFA). L'MFA aggiunge un ulteriore livello di protezione richiedendo più forme di verifica, rendendola uno dei modi più efficaci e semplici per bloccare l'accesso non autorizzato ad API e account utente.

Identificare vulnerabilità API nascoste

Una policy di sicurezza delle API è efficace solo se si tiene conto di tutte le API che richiedono protezione. Ma cosa succede se la tua organizzazione è inconsapevolmente esposta da un'API esposta al pubblico, come nel caso di Optus?

Le API nascoste o trascurate sono difficili da rilevare utilizzando gli strumenti di scansione standard. Il modo più efficace per scoprirle è attraverso i penetration test per esporre vulnerabilità quali:

• Meccanismi di autenticazione deboli: Sistemi che accettano password in chiaro o credenziali crittografate in modo inadeguato.

• Esposizione ad attacchi di credential stuffing o di forza bruta: Sfruttamento su larga scala di nomi utente e password rubati.

• Manipolazione dei parametri delle API: Rivelazione di dettagli sensibili di autenticazione negli URL o nelle risposte.

4. Conclusione#

In conclusione, la violazione dei dati di Optus sottolinea l'importanza fondamentale di implementare solide misure di sicurezza informatica e controllare regolarmente le risorse digitali. L'incapacità di proteggere le API, applicare adeguati protocolli di autenticazione e affrontare vulnerabilità trascurate su domini secondari ha contribuito in modo significativo a questo incidente. Adottando le best practice del settore, come quelle delineate nell'OWASP API Security Project, e dando priorità a strategie di sicurezza complete, le organizzazioni possono proteggersi da violazioni simili, tutelare i dati sensibili dei clienti e, cosa più importante, mantenere la fiducia dei propri utenti.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande frequenti#

Quali dati personali sono stati rubati nella violazione di Optus e perché è così dannoso?#

L'API esposta ha fornito agli aggressori l'accesso diretto a numeri di patente di guida, numeri di telefono, date di nascita e indirizzi di casa. Questi tipi di dati sono particolarmente preziosi per il furto d'identità e le frodi, rendendo la violazione particolarmente dannosa per i clienti colpitti.

Perché un'azienda dovrebbe lasciare un'API non autenticata in primo luogo?#

Le API a volte vengono intenzionalmente lasciate non autenticate per mantenere la compatibilità con i sistemi legacy o per scopi di test, che era probabilmente il caso di Optus. Tuttavia, distribuire qualsiasi API, sia interna che pubblica, senza autenticazione è un rischio significativo per la sicurezza, indipendentemente dalla giustificazione operativa.

Come possono i team di sicurezza scoprire API nascoste o trascurate prima che gli aggressori le sfruttino?#

Gli strumenti di scansione standard faticano a rilevare le API nascoste o trascurate. L'approccio più efficace sono i penetration test, che possono esporre meccanismi di autenticazione deboli, esposizione ad attacchi di credential stuffing e dettagli sensibili di autenticazione rivelati in URL o risposte API.

Che cos'è l'OWASP API Security Project e come aiuta le organizzazioni a evitare violazioni come quella di Optus?#

L'OWASP API Security Project è una risorsa regolarmente aggiornata che cataloga i noti rischi per la sicurezza delle API come Broken Object Level Authorization, Excessive Data Exposure, Security Misconfigurations e Injection Flaws. I team di sicurezza informatica dovrebbero monitorarlo regolarmente per identificare e affrontare le vulnerabilità prima che gli aggressori possano sfruttarle.