Утечка данных Optus: как это произошло и как этого избежать?

1. Введение#

В сентябре 2022 года Optus, один из ведущих телекоммуникационных провайдеров Австралии, столкнулся с утечкой данных, в результате которой была раскрыта личная информация почти 10 миллионов клиентов. Этот инцидент стал одной из крупнейших кибератак в истории Австралии, что вызвало серьезную обеспокоенность по поводу конфиденциальности данных и методов обеспечения безопасности в стране.

В этой статье будут рассмотрены следующие вопросы:

• Какие уязвимости в системе безопасности Optus привели к утечке данных?
• Какие методы противодействия могла бы использовать Optus, чтобы избежать нарушения безопасности?

2. Уязвимости в безопасности, приведшие к утечке данных Optus#

Ниже описаны 5 уязвимостей в безопасности, связанных с утечкой данных в Optus.

2.1 Уязвимость #1: Открытый общедоступный API#

Первой серьезной уязвимостью в системе безопасности при утечке Optus стало использование общедоступного API (Application Programming Interface), который обеспечивал доступ к конфиденциальным внутренним данным. Общедоступные API предназначены для обеспечения взаимодействия внешних систем с услугами компании, но если эти API не защищены должным образом, они могут стать шлюзом для злоумышленников.

Для чего используются общедоступные API?

Безопасные общедоступные API, такие как, например, Google Maps API или Weather API, предоставляют ограниченные, неконфиденциальные данные внешним системам. Они разработаны таким образом, чтобы изолировать любые передаваемые данные от основных бизнес-операций, что делает их по своей сути более безопасными.

Почему общедоступные API стали проблемой в данном случае?

В отличие от безопасных API, API Optus раскрывал конфиденциальную информацию клиентов и не имел необходимых средств защиты. Это сделало его уязвимым для злоумышленников, которые могли обнаружить его с помощью интернет-сканирования.

Как злоумышленники могли использовать этот API?

Без аутентификации или изоляции данных злоумышленники могли напрямую подключаться к API и извлекать конфиденциальную информацию о клиентах в обход внутренних мер безопасности.

2.2 Уязвимость #2: Незащищенный API, предоставляющий доступ к конфиденциальным данным клиентов#

Второй серьезной уязвимостью при утечке данных Optus стало то, что API не был защищен. Таким образом, он предоставлял доступ к крайне конфиденциальным данным клиентов. Если первая проблема заключалась в том, что API был общедоступным, то критическая проблема здесь заключалась в отсутствии надлежащего контроля доступа, что позволяло беспрепятственно получать доступ к конфиденциальной информации.

Когда клиент Optus получает доступ к своей учетной записи через мобильное приложение или веб-сайт Optus, API облегчают связь между внешними интерфейсами (frontend) и внутренними системами (backend) для получения необходимых данных. Эти внутренние процессы часто обрабатывают конфиденциальную информацию для загрузки профилей клиентов.

В данном случае открытый API предоставил злоумышленникам прямой доступ к следующим типам персональных данных, которые особенно ценны для кражи личных данных и мошенничества:

• Номера водительских удостоверений
• Номера телефонов
• Даты рождения
• Домашние адреса

Анализ публичных записей системы доменных имен (DNS) позже показал, что этот API, вероятно, был общедоступным и открытым для любого пользователя в интернете на протяжении периода до трех месяцев.

2.3 Уязвимость #3: Использование инкрементных идентификаторов клиентов#

Третьей уязвимостью в системе безопасности при утечке данных Optus стало использование инкрементных идентификаторов клиентов. В цифровом мире уникальные идентификаторы клиентов — состоящие из случайных последовательностей цифр и букв — используются для безопасного различения учетных записей. Лучшие практики кибербезопасности диктуют, что эти идентификаторы должны быть случайными и не связанными между собой, чтобы не позволить хакерам выявить закономерности.

Идентификатор клиента Optus: В данном случае идентификаторы клиентов следовали предсказуемой схеме, отличаясь на шаг в 1 единицу. Например, если идентификатор одного клиента был 5332, то следующим был 5333. Как только хакер получал доступ к базе данных, он мог написать автоматизированный скрипт для извлечения каждой записи, просто увеличивая идентификатор.

Такой автоматизированный подход ускорил процесс кражи данных, позволив злоумышленнику масштабное извлечение конфиденциальных данных клиентов. Этот предсказуемый недостаток проектирования позволил утечке в Optus произойти быстрее и затронуть больше клиентов, чем это было бы возможно в противном случае.

2.4 Уязвимость #4: Ослабление контроля доступа из-за ошибки программирования#

Помимо уязвимостей API и идентификаторов клиентов, существовали и другие проблемы с безопасностью: В 2018 году ошибка программирования ослабила контроль доступа к определенным доменам Optus, сделав их менее защищенными. Хотя к августу 2021 года компания Optus исправила эту проблему на своем основном сайте, она не применила такое же исправление ко вторичному сайту, доступному в интернете. Этот вторичный домен оставался уязвимым вплоть до обнаружения утечки в сентябре 2022 года.

Это упущение оставило серьезную брешь в безопасности. Общедоступные домены являются частой мишенью для злоумышленников, и любая неисправленная уязвимость повышает риск несанкционированного доступа. В данном случае ошибка программирования позволила злоумышленникам обойти контроль доступа и получить конфиденциальные данные.

Невнимательность к вторичным или менее заметным доменам может оставить открытыми критические уязвимости, которыми злоумышленники могут с легкостью воспользоваться. Регулярные аудиты и тщательное тестирование имеют важное значение для того, чтобы убедиться в повсеместном применении обновлений безопасности.

2.5 Уязвимость #5: Уязвимый второй домен#

Отсутствие должного контроля распространилось и на вторичный домен, который сыграл ключевую роль в утечке. Хотя домен не использовался активно, он оставался в сети и был не защищен в течение длительного периода. Несмотря на то, что он не был необходим для повседневных операций, он не был ни защищен надлежащим контролем доступа, ни выведен из эксплуатации, что создало легкую точку входа для использования злоумышленниками.

Даже если такие домены не используются активно, они все равно могут служить векторами атак при наличии уязвимостей. Для снижения этих рисков компаниям следует регулярно проводить аудит своих цифровых активов, оперативно выводить из эксплуатации неиспользуемые домены или применять к ним тот же уровень безопасности, что и к активным системам.

3. Как избежать подобных утечек данных?#

Чтобы предотвратить утечки данных, подобные взлому Optus, и снизить риск репутационного ущерба, организации могут принять различные стратегии безопасности, о которых вы можете прочитать ниже:

3.1 Метод противодействия #1: Обратитесь к проекту OWASP API Security#

Проект OWASP API Security — это регулярно обновляемый ресурс, в котором освещаются известные риски безопасности API. Службам кибербезопасности необходимо регулярно отслеживать эту базу данных, чтобы выявлять и устранять уязвимости, которые могут повлиять на их бизнес. Он охватывает широкий спектр потенциальных рисков, например:

• Нарушение авторизации на уровне объекта (BOLA): Пробелы в правах доступа пользователей, позволяющие несанкционированный доступ к данным.

• Чрезмерное раскрытие данных: API возвращают больше информации, чем необходимо, что увеличивает риск утечки конфиденциальных данных.

• Неправильные настройки безопасности: Неверно заданные параметры или настройки по умолчанию, которые делают конфиденциальные API уязвимыми для атак.

• Уязвимости внедрения: Злоумышленники используют API для внедрения вредоносных команд или данных.

3.2 Метод противодействия #2: Защитите все API с помощью протокола аутентификации#

Проект OWASP API Security выделяет неаутентифицированные API как вторую по распространенности уязвимость API. Эти API не требуют имени пользователя, пароля или любого другого метода аутентификации для установления соединения, что делает их крайне уязвимыми для эксплуатации. Именно этот тип уязвимости сыграл центральную роль в утечке данных Optus.

В некоторых случаях API намеренно оставляют без аутентификации для поддержания совместимости с устаревшими системами или в целях тестирования. Вполне вероятно, что Optus оставил свой API без аутентификации по схожим причинам. Однако, независимо от того, насколько критичными могут быть требования к тестированию или устаревшим системам, развертывание любого API — будь то внутреннего или общедоступного — без аутентификации представляет собой серьезный риск для безопасности.

Как предотвратить использование неаутентифицированных API

Чтобы защитить ваши API, каждый запрос на подключение должен быть защищен с помощью многофакторной аутентификации (MFA). MFA добавляет дополнительный уровень защиты, требуя нескольких форм проверки, что делает ее одним из наиболее эффективных и простых способов блокировки несанкционированного доступа к API и учетным записям пользователей.

Выявление скрытых уязвимостей API

Политика безопасности API эффективна только в том случае, если учтены все API, требующие защиты. Но что произойдет, если ваша организация неосознанно подвергается риску из-за общедоступного API, как это произошло с Optus?

Скрытые или упущенные из виду API сложно обнаружить с помощью стандартных инструментов сканирования. Наиболее эффективный способ выявить их — провести тестирование на проникновение для обнаружения таких уязвимостей, как:

• Слабые механизмы аутентификации: Системы, принимающие пароли в открытом виде или плохо хешированные учетные данные.

• Подверженность атакам с подстановкой учетных данных или атакам полным перебором (brute force): Масштабное использование украденных имен пользователей и паролей.

• Манипулирование параметрами API: Раскрытие конфиденциальных данных аутентификации в URL-адресах или ответах.

4. Заключение#

В заключение, утечка данных Optus подчеркивает критическую важность внедрения надежных мер кибербезопасности и регулярного аудита цифровых активов. Неспособность защитить API, внедрить надлежащие протоколы аутентификации и устранить упущенные из виду уязвимости на вторичных доменах в значительной степени способствовали этому инциденту. Перенимая лучшие отраслевые практики, такие как те, что изложены в проекте OWASP API Security, и отдавая приоритет комплексным стратегиям безопасности, организации могут защититься от подобных утечек, обезопасить конфиденциальные данные клиентов и, что самое важное, сохранить доверие своих пользователей.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Какие личные данные были украдены при утечке Optus и почему это так опасно?#

Открытый API предоставил злоумышленникам прямой доступ к номерам водительских удостоверений, номерам телефонов, датам рождения и домашним адресам. Эти типы данных особенно ценны для кражи личных данных и мошенничества, что делает эту утечку особенно разрушительной для пострадавших клиентов.

Почему компания вообще может оставить API без аутентификации?#

API иногда намеренно оставляют без аутентификации для поддержания совместимости с устаревшими системами или в целях тестирования, что, вероятно, и произошло в случае с Optus. Однако развертывание любого API, будь то внутреннего или общедоступного, без аутентификации является серьезным риском для безопасности независимо от операционных обоснований.

Как службы безопасности могут обнаружить скрытые или упущенные из виду API до того, как их используют злоумышленники?#

Стандартным инструментам сканирования сложно обнаружить скрытые или упущенные из виду API. Наиболее эффективным подходом является тестирование на проникновение, которое может выявить слабые механизмы аутентификации, подверженность атакам с подстановкой учетных данных и раскрытие конфиденциальных данных аутентификации в URL-адресах или ответах API.

Что такое проект OWASP API Security и как он помогает организациям избежать таких утечек, как в Optus?#

Проект OWASP API Security — это регулярно обновляемый ресурс, в котором каталогизируются известные риски безопасности API, такие как нарушение авторизации на уровне объекта, чрезмерное раскрытие данных, неправильные настройки безопасности и уязвимости внедрения. Службам кибербезопасности следует регулярно отслеживать его, чтобы выявлять и устранять уязвимости до того, как злоумышленники смогут ими воспользоваться.