黑客撤回勒索訴求并道歉-FBI出手協助調查！澳大利亞Optus電信大規模數據泄露事件有點詭異！

澳大利亞電信巨頭Optus正在接受美國聯邦調查局(FBI)的幫助，以調查這起似乎很容易預防的泄露事件，該事件最終導致近1000多萬用戶的敏感數據暴露。 與此同時，此次黑客事件的幕后黑手當地時間9月27日（周二）撤回了他們提出的100萬美元贖金及威脅在支付贖金之前將公布大量被盜數據的訴求。該威脅行為者還向10200名個人數據已經在黑客論壇上泄露的人道歉。威脅行為者還聲稱，他或她刪除了從Optus竊取的所有數據。然而，在攻擊者明顯改變主意之前，他們已經公布了約1.02萬份客戶記錄的樣本，似乎是為了證明自己的意圖。目前尚不清楚攻擊者是迫于執法機構的強大威懾，還是出于良心發現，做出撤回贖金的表態！Optus糟糕的網絡安全實踐，是導致此次事件的主要原因，這也招致該國監管部門的嚴厲指責和批評！

良心發現？

澳大利亞第二大移動運營商Optus在2022年9月22日首次披露了這一安全漏洞，稱攻擊者可能獲得了客戶的個人信息。2022年9月23日，一名化名為“optusdata”的黑客在攻破黑客論壇上發布了一小部分被盜數據樣本，并要求該公司支付100萬美元(美元)的贖金，否則1100萬客戶的數據將被公開泄露。這些信息包括客戶的姓名、出生日期、電話號碼、電子郵件地址、物理地址、駕照和護照號碼，但不包括賬戶密碼或財務信息。Optus沒有向敲詐勒索的要求讓步，而是與執法部門合作調查這一事件。

27日，被指控的Optus黑客在breach上發布了一條新消息，稱由于對數據泄露的審查加強，被竊取的數據將不再出售或泄露給任何人。該威脅行為人還聲稱，竊取的數據已經從他們保存唯一副本的設備中刪除，并向暴露的Optus客戶和公司道歉。“太多的眼睛。我們不會將數據出售給任何人。即使我們想，我們也做不到:親自從硬盤刪除數據(只有副本)，”威脅行為者聲稱。 值得注意的是，該用戶從未被正式確認為對Optus入侵事件負責的個人或組織。然而，停止勒索該公司的決定可能是對澳大利亞聯邦警察（AFP）昨天宣布的“颶風行動”的回應，他們發起了“颶風行動”，以確定入侵和勒索要求背后的威脅行為者。AFP宣布:“我們知道有報告稱，竊取的數據在暗網上出售，這就是為什么AFP正在使用一系列專業功能監控暗網。”“使用假名和匿名技術的罪犯看不到我們，但我可以告訴你，我們可以看到他們。”作為這次行動的一部分，AFP正與海外執法部門密切合作，以確定和逮捕襲擊的幕后黑手。如果AFP查明Optus入侵事件的責任人，他們將面臨最高10年的監禁。

目前尚不清楚攻擊者撤銷贖金要求和數據泄露威脅的原因。道歉和攻擊者聲稱已刪除被盜數據的說法不太可能緩解外界對此次攻擊的擔憂。此次攻擊被稱為澳大利亞有史以來規模最大的黑客事件。

Optus于9月21日首次披露了此次入侵事件，并在隨后的一系列更新中稱，該事件將影響該公司的寬帶、移動和商務客戶的當前和以前的客戶。 據該公司稱，此次泄露可能暴露了客戶的姓名、出生日期、電話號碼、電子郵件地址，對一部分客戶來說，還可能暴露了他們的完整地址、駕照信息或護照號碼。

27日，澳大利亞基礎設施、交通、能源和礦業部長湯姆·庫特桑托尼斯(Tom Koutsantonis)宣布，Optus數據泄露的受害者將免費獲得新駕照。攻擊者竊取的駕照將會失效，因為威脅行為者可以利用這些駕照偽造與該州系統中的條目相匹配的偽造文件。網絡安全部長克萊爾·奧尼爾在接受ABC采訪時表示，澳大利亞目前的監管框架不夠嚴格，企業需要加大力度保護客戶數據，就像歐洲的GDPR一樣。這名官員批評了Optus的安全態勢，稱它為黑客“敞開了大門”，所以這起事件可能會引發該國的監管改革。

Optus糟糕的安全實踐

這一事件引發了人們對廣泛存在的身份欺詐的擔憂，并促使Optus采取了多種措施，其中包括與澳大利亞不同的州政府合作，討論由公司自費更改受影響個人駕照細節的可能性。“當我們與您取得聯系時，我們會在您的賬戶上存入一筆信用證，以支付相關的更換費用。我們會自動完成，所以你不需要聯系我們，”Optus告訴客戶。“如果你沒收到我們的消息，就意味著你的駕照不用換了。”

此次數據泄露事件將Optus的安全實踐直接置于聚光燈下，尤其是因為它似乎是由一個根本性錯誤造成的。澳大利亞廣播公司(ABC) 9月22日援引Optus內部一位未透露身份的“高級人士”的話說，攻擊者基本上可以通過未經認證的應用程序編程接口(API)訪問數據庫。

據稱，該內部人士告訴ABC，攻擊者訪問的實時客戶身份數據庫是通過一個不受保護的API連接到互聯網的。假設只有經過授權的Optus系統才會使用API。但不知怎么的，它最終暴露在一個測試網絡中，而這個測試網絡恰好直接連接到互聯網，ABC援引知情人士的話稱。

ABC和其他媒體稱，Optus首席執行官凱利?拜耳?羅斯馬林堅稱，該公司是一場復雜攻擊的受害者，攻擊者聲稱訪問的數據是加密的。

如果關于暴露API的報告是真實的，那么Optus是其他許多人都犯的安全錯誤的受害者。Salt Security的解決方案架構師Adam Fisher說:“用戶身份驗證錯誤是最常見的API漏洞之一。”“攻擊者首先尋找它們，因為未經身份驗證的API不需要太大技術難度即可攻陷。”

開放或未經身份驗證的API通常是基礎設施團隊或管理身份驗證的團隊配置錯誤的結果。Fisher說:“因為需要不止一個團隊來運行一個應用程序，所以經常會發生溝通錯誤。”他指出，在OWASP列出的十大API安全漏洞中，未經驗證的API位居第二。

今年早些時候，imperva公司委托做出的一份報告指出，僅在2022年，美國企業就因API相關的妥協而遭受了120億至230億美元的損失。Cloudentity去年進行的另一項基于調查的研究發現，44%的受訪者表示，他們的組織經歷過數據泄露和其他由API安全漏洞引起的問題。

執法行動驚嚇了攻擊者?

FBI沒有立即通過其國家新聞辦公室的電子郵件地址回應Darkreading的置評請求，但《衛報》和其他媒體報道稱，美國執法機構已被召來協助調查。正在調查Optus事件的澳大利亞聯邦警察局(Australian Federal Police，AFP)表示，它正在與海外執法部門合作，追查應對此事負責的個人或組織。

漏洞賞金公司Bugcrowd的創始人兼首席技術官凱西·埃利斯(Casey Ellis)表示，澳大利亞政府、公眾和執法部門對入侵事件的嚴密審查可能嚇到了攻擊者。“這種類型的相互作用是相當罕見的，像這次這樣壯觀，”他說。“危及一個國家近一半的人口將會獲得大量非常強烈和非常強大的關注，而這里涉及的襲擊者顯然低估了這一點。”

他指出，他們的反應表明，威脅行為者非常年輕，可能對犯罪行為非常陌生，至少在這種規模上是這樣。

Fisher補充道:“很明顯，澳大利亞政府已經非常嚴肅地對待這次入侵，并且正在執著地追捕攻擊者。”“這種強烈的反應可能讓襲擊者措手不及，”并可能促使他們三思而后行。“然而，不幸的是，數據已經公開了。一旦一家公司發現自己出現在這樣的新聞中，每個黑客都會關注。”