Optus数据泄露事件是如何发生的,以及如何避免?
探索影响1000万客户的2022年Optus数据泄露事件背后的关键安全漏洞。了解API安全和强身份验证协议等最佳实践。
本页由自动翻译生成。请阅读英文原文 此处.
澳大利亚 Passkeys 指南. 面向 passkey 项目的实用指南、推广模式和 KPI。
- 长达三个月的时间里,任何人都可以通过互联网访问这个未受保护的面向公众的API,这使得攻击者能够直接检索近1000万Optus客户的敏感数据。
- 连续的客户标识符(例如5332、5333)让攻击者只需一个简单的脚本就能自动进行全库数据外泄,从而加快了数据泄露的规模和速度。
- 2018年的一个编码错误削弱了访问控制。虽然Optus主站点的该错误已于2021年8月修复,但从未应用于辅助域,该辅助域一直暴露,直到2022年发生数据泄露。
- 根据OWASP的报告,未经身份验证的API是第二常见的漏洞。建议在每次连接请求时使用多重身份验证并进行渗透测试,作为防止漏洞被利用的对策。
1. 简介#
2022年9月,澳大利亚领先的电信供应商之一Optus经历了一次数据泄露事件,暴露了近1000万客户的个人信息。此事件标志着澳大利亚历史上最大规模的网络攻击之一,引发了该国对数据隐私和安全实践的高度关注。
在 15 分钟内获取免费的 passkey 评估。
本文将重点探讨以下问题:
- Optus存在哪些导致数据泄露的安全缺陷?
- Optus本可以采取哪些对策来避免安全漏洞?
2. 导致Optus数据泄露的安全缺陷#
在下文中,您将了解到Optus数据泄露事件的5个安全缺陷。
在实时 demo 中试用 passkeys。
2.1 安全缺陷 #1:暴露的面向公众的API#
Optus泄露事件中的第一个主要安全缺陷是使用了一个面向公众的API(应用程序编程接口),它为访问敏感内部数据提供了便利。面向公众的API旨在使外部系统能够与公司的服务进行交互,但是如果这些API未得到妥善保护,它们可能会成为攻击者的入口。
面向公众的API有什么用途?
安全的面向公众的API(例如Google Maps API或天气API)为外部系统提供有限的非敏感数据。它们旨在将任何共享数据与核心业务运营隔离开来,从而从本质上提高安全性。
为什么面向公众的API在这种情况下是一个问题?
与安全API不同,Optus API暴露了敏感的客户信息并且缺乏必要的安全保护措施。这使其很容易受到通过互联网扫描定位到它的攻击者的攻击。
攻击者如何利用这个API?
在没有身份验证或数据隔离的情况下,攻击者可以直接连接到该API并检索机密客户信息,从而绕过内部安全措施。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study2.2 安全缺陷 #2:未受保护的API授予对敏感客户数据的访问权限#
Optus数据泄露事件中的第二个主要安全缺陷是该API未受保护。因此,它授予了访问高度敏感客户数据的权限。虽然第一个问题围绕API面向公众展开,但这里的关键问题是缺乏适当的访问控制,这使得机密信息可以被无限制地访问。
当Optus客户通过Optus移动应用或网站访问其帐户时,API促进前端和后端系统之间的通信以检索必要数据。这些后端过程通常处理加载客户配置文件所需的敏感信息。
在这种情况下,暴露的API为攻击者提供了直接获取以下类型个人数据的途径,这些数据对于身份盗窃和欺诈尤为宝贵:
• 驾驶执照号码 • 电话号码 • 出生日期 • 家庭住址
对公共域名系统(DNS)记录的分析后来显示,该API可能是面向公众的,且任何互联网用户均可访问它长达三个月之久。
企业 Passkey 白皮书. 面向 passkey 项目的实用指南、推广模式和 KPI。
2.3 安全缺陷 #3:使用递增的客户标识符#
Optus数据泄露事件的第三个安全缺陷是使用了递增的客户标识符。在数字世界中,独特的客户标识符(由随机的数字和字母序列组成)用于安全区分不同的帐户。最佳的网络安全实践表明,这些标识符应当是随机的且互不相关,以防止黑客发现规律。
Optus客户标识符:在这种情况下,客户标识符遵循可预测的模式,递增值为1。例如,如果某位客户的标识符为5332,那么下一位客户将为5333。一旦黑客成功访问数据库,他们只需编写一个自动化脚本,便可通过递增标识符来检索每条记录。
这种自动化方法加快了数据盗窃过程,使攻击者能够大规模窃取敏感客户数据。这一可预测的设计缺陷导致Optus数据泄露的速度更快,且波及的客户范围远超预期。
2.4 安全缺陷 #4:编码错误导致访问控制被削弱#
除了API和客户ID的漏洞之外,还存在更多安全问题:2018年,一个编码错误削弱了对某些Optus域的访问控制,降低了其安全性。尽管Optus于2021年8月在其主网站上修复了该问题,但却未能将同样的修复程序应用于可通过互联网访问的一个辅助网站。在2022年9月发现漏洞之前,该辅助域一直存在安全隐患。
这一疏忽留下了重大的安全漏洞。面向公众的域名是攻击者的常见目标,任何未修补的缺陷都会增加未经授权访问的风险。在这种情况下,编码错误使攻击者能够绕过访问控制并获取敏感数据。
忽视次要或不显眼的域名,可能导致存在严重漏洞被暴露,进而被攻击者轻易利用。定期审计与全面测试对于确保安全更新覆盖所有必要环节至关重要。
2.5 安全缺陷 #5:存在漏洞的第二个域#
由于缺乏适当监管,问题波及到了作为泄露事件关键因素的辅助域。尽管该域并未积极投入使用,但在较长一段时间内,它依然在线并处于无保护状态。尽管日常运营并不需要它,但该域名既没有采取适当的安全访问控制,也没有被停用,从而成了攻击者轻易利用的入口。
即便是未在活跃使用状态下的域名,如果存在漏洞,同样可能成为攻击载体。为降低此类风险,企业必须定期审计其数字资产,及时停用闲置域名,或实施与活跃系统同等级别的安全防护措施。
3. 如何避免此类数据泄露?#
为了防止发生类似于Optus黑客攻击的数据泄露事件,并降低声誉受损的风险,组织可以采取以下不同的安全策略:
3.1 对策 #1:参考OWASP API安全项目#
OWASP API安全项目是一个定期更新的资源库,重点介绍了已知API安全风险。网络安全团队必须定期监控此数据库,以识别并解决可能影响其业务的漏洞。该项目涵盖了各种潜在风险,例如:
-
破损的对象级别授权(BOLA): 用户访问权限的漏洞导致出现未授权数据访问。
-
过度的数据暴露: API返回多于必要的信息,从而增加敏感数据泄露的风险。
-
安全配置错误: 设置未对齐或默认设置,导致敏感API面临攻击风险。
-
注入漏洞: 攻击者利用API注入恶意命令或数据。
3.2 对策 #2:使用身份验证协议保护所有API#
OWASP API安全项目强调,未经身份验证的API是第二常见的API漏洞。此类API在建立连接时无需用户名、密码等任何身份验证方法,从而极易遭受攻击利用。这种弱点在Optus数据泄露事件中发挥了核心作用。
在某些场景下,为了保证与遗留系统相兼容或出于测试需要,API会被特意设置为免身份验证模式。Optus未对其API实施身份验证的做法,很可能也是出于类似考量。然而,无论测试或遗留系统的要求有多关键,将任何未经身份验证的API(无论是内部还是面向公众的)投入使用,都意味着存在巨大的安全风险。
如何防止利用未经身份验证的API
为保护您的API安全,每一条连接请求都应当受多重身份验证(MFA) 的安全防护。多重身份验证通过增加多重验证形式来提供一道额外保护,是阻断对API及用户帐户的非授权访问中最有效也最简单直接的方法之一。
识别隐藏的API漏洞
仅当所有需要保护的API均被纳入考量时,API安全策略方能生效。但是,如果您的组织像Optus那样,在不知情的情况下受到面向公众的API带来的威胁,将会出现什么后果?
通过常规扫描工具很难探测到那些隐藏或被忽略的API。发现它们的最佳手段是通过渗透测试,此举能够暴露出以下漏洞:
-
薄弱的身份验证机制: 允许明文密码或哈希值存在缺陷的系统。
-
暴露于凭据填充或暴力破解攻击: 攻击者大规模利用窃取到的用户名与密码。
-
API参数操纵: 在URL或响应内容里暴露了敏感身份验证信息。
订阅我们的 Passkeys Substack,获取最新消息。
4. 结论#
总而言之,Optus数据泄露事件突显了实施强大网络安全措施和定期审计数字资产的关键重要性。未保护API安全、未能执行恰当的身份验证协议,以及对辅助域上的潜在漏洞缺乏重视,在很大程度上促成了此事件。通过采纳业界最佳实践,如OWASP API安全项目中建议的内容,并优先制定综合安全战略,各大机构便能防范同类数据泄露事件的再次发生,有效保护客户的敏感数据,更为关键的是,维系用户的信任。
关于 Corbado
Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容:哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey,为什么注册没有转化为登录,WebAuthn 流程在哪里失败,以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品:Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey(与你的 IDP 并存)。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey(passkey 激活率 +80%)。 与 Passkey 专家交谈 →
常见问题解答#
在Optus数据泄露事件中哪些个人数据被盗?为什么它的危害如此之大?#
暴露的API使攻击者能够直接获取驾驶执照号码、电话号码、出生日期和家庭住址。这些数据类型对于身份盗窃和欺诈极具价值,因此该泄露事件对受影响的客户造成了极大的破坏。
为什么公司一开始会让API处于未经过身份验证的状态?#
有时为了保持与遗留系统的兼容性或出于测试目的,API会故意处于未经过身份验证的状态,Optus很可能就是这种情况。然而,无论出于何种运营理由,在没有身份验证的情况下部署任何API(无论是内部还是面向公众的)都会带来重大安全风险。
安全团队如何在攻击者利用之前发现隐藏或被忽视的API?#
标准的扫描工具很难检测到隐藏或被忽视的API。最有效的方法是进行渗透测试,这可以暴露出薄弱的身份验证机制、对凭据填充攻击的暴露程度以及在URL或API响应中泄露的敏感身份验证详细信息。
什么是OWASP API安全项目,它如何帮助组织避免发生类似Optus的泄露事件?#
OWASP API安全项目是一个定期更新的资源库,负责对已知的API安全风险(例如破损的对象级别授权、过度的数据暴露、安全配置错误和注入漏洞)进行分类。网络安全团队应定期监控它,以便在攻击者利用之前发现并解决漏洞。
分享本文
相关文章
目录