Dans la semaine depuis qu’Optus a annoncé qu’il avait été l’objet d’une violation massive de données avec jusqu’à 10 millions de comptes clients exposés, les informations solides sur ce qui s’est réellement passé sont rares.
Voici ce que nous savons jusqu’à présent.
Qui est l’agresseur ?
Optus a déclaré avoir été la cible d’une “attaque sophistiquée”.
La seule personne à s’être manifestée depuis lors, prétendant détenir les données, est un utilisateur appelé “Optusdata” sur un forum de violation de données. L’agresseur présumé a menacé de vendre les données à moins qu’Optus ne paie 1 million de dollars en crypto-monnaie.
L’utilisateur a ensuite publié ce qu’il prétendait être 10 000 enregistrements de clients, avant supprimer les messages et s’excuser.
Rien n’est connu de cette personne au-delà de ce qui était sur le forum.
Qui a les données ?
Il n’est pas clair si “Optusdata” est la personne responsable de l’attaque ou si elle est la seule personne à avoir accès aux données.
Dans leurs excuses, “Optusdata” a affirmé avoir supprimé la seule copie qu’ils avaient des données.
Il n’y a aucun moyen de vérifier cela. D’autres attaquants auraient pu accéder aux données via la même vulnérabilité, et les données pourraient ne pas avoir été réellement supprimées.
“C’est une préoccupation valable car tout ce que nous avons pour l’instant, c’est la parole d’un criminel qui n’a pas hésité à vider plus de 10 000 enregistrements publiquement », a déclaré Troy Hunt, expert en cybersécurité et fondateur du site Web HaveIBeenPwned.
“De plus, la vulnérabilité telle qu’elle a été décrite est si insignifiante qu’il est tout à fait possible qu’elle ait également été exploitée par d’autres parties.”
Pourquoi l’agresseur a-t-il reculé ?
Cela reste également flou. Optus l’a dit n’a pas payé la rançon.
Hunt répertorie les violations de données sur son site Web pour permettre aux gens de vérifier si leurs informations personnelles ont été compromises. Il a déclaré que les demandes de rançon n’étaient pas inhabituelles pour les violations de données importantes telles que celles subies par Optus, mais que le changement d’avis de l’attaquant présumé était inattendu.
« Voir le pirate reculer, s’excuser et promettre de supprimer les données est très rare. Je soupçonne que l’ampleur de l’exposition à l’incident ainsi que l’implication de l’AFP et les commentaires de politiciens de haut niveau les ont effrayés », a-t-il déclaré.
Comment les données ont-elles été consultées ?
Les rapports suggèrent qu’Optus disposait d’une interface de programmation d’application (API) disponible en ligne qui ne nécessitait ni autorisation ni authentification pour accéder aux données des clients.
“Dans le cas où un point de terminaison d’API public ne nécessitait pas d’authentification, toute personne sur Internet connaissant ce point de terminaison [URL] pourrait l’utiliser », a déclaré Corey J Ball, directeur principal du conseil en cybersécurité pour Moss Adams.
“Si ce point de terminaison était utilisé pour accéder aux données client, alors n’importe qui sur Internet aurait pu utiliser ce point de terminaison pour collecter des données client.
« Sans contrôles techniques d’authentification et d’autorisation en place, n’importe quel utilisateur aurait pu demander les informations de n’importe quel autre utilisateur. L’attaquant a probablement scénarisé le processus pour répéter les demandes du point de terminaison jusqu’à ce qu’il ait collecté des millions d’instances d’informations personnellement identifiables.
Optus n’a toujours pas confirmé comment les données ont été consultées. Il maintient que l’attaque était sophistiquée, mais la ministre de l’Intérieur, Claire O’Neil, a déclaré que la vulnérabilité ressemblait à Optus laissant une fenêtre ouverte.
Quelles données ont été prises ?
Optus indique que les données volées comprennent des noms, des adresses e-mail, des adresses postales, des numéros de téléphone, des dates de naissance et, pour une partie des clients concernés, des numéros d’identification, notamment des numéros de passeport, des numéros de permis de conduire et des numéros d’assurance-maladie.
Le vidage des enregistrements publié par l’utilisateur du forum contenait toutes ces informations.
Quelle est la fréquence de cette méthode d’attaque?
“Malheureusement, cela peut être assez courant”, a déclaré Josh Lemon, expert en criminalistique numérique et en cyberincident au SANS Institute.
Mais il a déclaré que les attaquants avaient tendance à ne pas cibler une seule organisation. Ils analysent généralement Internet à la recherche de vulnérabilités connues et exploitent ces vulnérabilités en même temps, a-t-il déclaré.
“Donc, pour qu’un acteur menaçant s’en prenne spécifiquement à [one company] est un peu unique en ce sens.
Que se passe-t-il ensuite ?
Les clients d’Optus ont été invités à rester vigilants pour les signes que leurs données ont été compromises. Les gouvernements des États et fédéral facilitent le remplacement des documents d’identité auxquels les personnes concernées peuvent avoir accès.
Alors que l’agresseur présumé a abandonné la menace de rançon, l’enquête criminelle est en cours. La police fédérale australienne travaille avec les forces de l’ordre à l’étranger, y compris le Federal Bureau of Investigation aux États-Unispour localiser celui qui a obtenu les données et qui a essayé de les vendre.
Le gouvernement fédéral envisage une réforme urgente dans ce domaine, notamment en facilitant l’alerte des banques sur les clients susceptibles d’avoir été piratés. Il envisage également de lourdes amendes pour les entreprises qui permettent qu’une telle violation se produise.
:quality(70):focal(1296x1076:1306x1086)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/CHWWRVASUBAUNFSIDKGO2GKZSM.jpg?fit=300%2C300&ssl=1)
