В прошлый четверг один из крупнейших телекоммуникационных и широкополосных провайдеров Австралии Optus сообщил о кибератаке, в результате которой были скомпрометированы данные клиентов. Хотя утечка данных произошла неделю назад, история продолжает развиваться. В настоящее время злоумышленник получил доступ к личной информации 11,2 миллиона бывших и настоящих клиентов Optus, включая клиентов ее дочерних компаний Virgin Mobile и Gomo. Однако, как ни странно, хакер, который утверждает, что стоит за этим инцидентом, отказался от вымогательства данных, якобы удалил свою копию данных и извинился за то, что когда-либо украл их.

На следующий день после того, как Optus раскрыла утечку данных, неизвестный субъект разместил сообщение на хакерском сайте Breach Forums под именем "optusdata". Пользователь форума создал ветку, в которой утверждал, что обладает данными клиентов, украденными из Optus в результате утечки данных. Владелец и администратор Breach Forums pompompurin ответил в ветке, что он проверил подлинность утверждений пользователя, поговорив с ним и просмотрев образец данных.

Согласно исходному сообщению на форуме, злоумышленник украл данные, относящиеся к 11,2 миллионам клиентов Optus. Сообщение ссылается на два образца данных, которые включают имена, даты рождения, адреса электронной почты, номера телефонов, домашние адреса, номера водительских прав, номера паспортов, идентификационные номера Medicare и информацию о подписке.

С тех пор Optus опубликовала заявление, в котором указывалось, что 9,8 миллиона клиентских записей были украдены. Тем не менее, компания также недавно сообщила клиентам Virgin Mobile и Gomo, что их личная информация была включена в эту утечку данных, и неясно, включены ли эти клиенты в эти 9,8 миллиона. Хотя Virgin Mobile и Gomo являются дочерними компаниями Optus, пострадали не все дочерние компании. По словам репортера Джоша Тейлора, это нарушение не затронуло клиентов Amaysim.

Optus отрицает, что нарушение произошло из-за "человеческой ошибки"

Неназванный "высокопоставленный сотрудник" Optus сообщил ABC News, что взлом, по-видимому, стал результатом человеческой ошибки. В частности, внутренняя база данных клиентов Optus была подключена к интерфейсу прикладного программирования (API), который был доступен в открытой сети через "тестовую сеть, которая имела доступ в Интернет". Это объяснение нарушения безопасности было подтверждено optusdata, который разговаривал с репортером Джереми Кирком на Breach Forums. Кирк поделился скриншотами своего разговора со злоумышленником, который сказал, что получил доступ к базе данных через API, найденный по легко угадываемому веб-адресу. Этот адрес появляется в репозиториях GitHub еще в 2018 году.

Более того, optusdata сообщила Кирку, что конечная точка API не прошла аутентификацию, то есть не была защищена какими-либо учетными данными для входа. Возможно, этот API был защищен аутентификацией в прошлом и только недавно стал незащищенным до взлома. Судя по всему, Optus отреагировала на утечку данных, отключив API. Однако в переписке с ABC News Optus прямо опровергла утверждение о том, что во взломе виновата человеческая ошибка, а генеральный директор настаивал на том, что у компании "очень сильная киберзащита". Вместо этого Optus объяснила нарушение "сложной" кибератакой, но не предоставила никаких дополнительных подробностей.

В любом случае утечка данных стала инструментом схемы вымогательства. Сначала злоумышленник пытался вымогать деньги у Optus, угрожая продать украденные данные сторонним организациям, если компания не заплатит выкуп в размере 1 миллиона долларов. Однако через несколько дней после того, как optusdata выдвинул этот ультиматум, клиенты Optus, пострадавшие от утечки данных, начали получать неожиданные SMS-сообщения. В сообщениях получателям предлагалось перевести 2000 австралийских долларов на счет Commonwealth Bank of Australia на имя "OptusData", чтобы их информация была удалена из украденной базы данных до ее продажи. В ответ банк выдал предупреждение о мошенничестве и заблокировал эту учетную запись.

Неясно, является ли субъект пытающийся вымогать деньги у клиентов Optus напрямую, тем же субъектом, который несет ответственность за утечку данных. Несвязанный субъект мог использовать информацию, опубликованную в образцах данных, для связи с клиентами Optus в попытке выманить у них деньги без какой-либо возможности выполнить обещание стереть их личную информацию из украденной базы данных.

Несмотря на это, почти все украденные данные могли быть удалены без уплаты ни Optus, ни его клиентами. Во вторник optusdata удалил исходную ветку форума, в которой сообщалось об утечке данных, и заменил ее новой веткой, в которой говорилось, что украденные данные Optus не будут проданы или переданы кому-либо. В сообщении приносятся извинения и говорится, что единственная копия украденных данных была удалена. Некоторые пользователи Breach Forums предположили, что Optus все-таки заплатила выкуп, но репортер Джереми Кирк получил от Optus подтверждение того, что компания не платила выкуп.

Вероятным объяснением внезапной перемены взглядов является то, что злоумышленник начал ощущать давление со стороны правоохранительных органов. Согласно сообщению на форуме, утечка данных привлекла слишком много внимания, что сделало невозможным продажу данных. Это опровержение произошло после того, как Федеральная полиция Австралии объявила об операции "Ураган" с заявленной целью выявления киберпреступников, стоящих за взломом Optus, и предотвращения мошенничества с идентификацией. Сообщается, что правительство Австралии также обратилось за помощью в Федеральное бюро расследований США (ФБР).

Нанесен необратимый ущерб

К несчастью для небольшого числа клиентов Optus, образцы данных, опубликованные в исходном сообщении на форуме, по-прежнему доступны для загрузки у другого пользователя Breach Forums, который разместил их в новой ветке форума. Эти образцы содержат личную информацию 10 200 клиентов Optus, что подвергает их риску мошенничества с идентификацией.

На данный момент нет подтверждения того, что большая украденная база данных была действительно удалена, поэтому клиенты Optus не должны просто игнорировать утечку данных. Украденная база данных может появиться позже, поэтому клиентам Optus следует принять меры предосторожности. К счастью, правительство австралийских штатов работает над тем, чтобы помочь австралийцам, пострадавшим от утечки, и многие предлагают людям помощь в получении новых водительских прав. Optus даже обязалась оплатить сборы за замену водительских прав для жителей Нового Южного Уэльса.

Помимо водительских прав, министр иностранных дел Австралии Пенни Вонг отправила Optus письмо с просьбой покрыть расходы на новые паспорта для клиентов, пострадавших от взлома. Федеральная полиция Австралии также объявила о совместной операции с полицией всех штатов и территорий, Австралийским центром кибербезопасности, Австралийской банковской ассоциацией, IDCARE и Ассоциацией банков, в которых размещены деньги клиентов. Скоординированные усилия, получившие название "Операция Guardian", направлены на выявление 10 200 клиентов Optus, чья информация просочилась в образцах данных, и предоставление им дополнительной защиты.