Avustralya telekomünikasyon gözlemcisi, Avustralya’nın en büyük telekomünikasyon şirketlerinden biri olan Optus’un, yaklaşık 9,5 milyon kişinin hassas kişisel bilgilerinin sızdırılmasına neden olan 2022’deki büyük veri ihlalini önleyebileceğini söyledi.
Avustralya İletişim ve Medya Otoritesi, Federal Mahkemeye sunduğu bir dosyada şunları söyledi: “[Optus] Siber saldırı çok karmaşık ya da ileri düzeyde beceri gerektiren bir saldırı değildi.” Soruşturması, 2022 Optus veri ihlalini, bir API’yi kötüye kullanıma açık bırakan bir erişim kontrolü kodlama hatasına bağladı.
ACMA’nın soruşturma ayrıntıları, telekom gözlemcisinin aynı mahkemede müşteri verilerini yeterince korumadığı iddiasıyla Optus’a karşı yasal işlem başlatmasından haftalar sonra geldi.
Kodlama Hatası ve Yanlış API Yönetimi, Optus Veri İhlaline Yol Açtı
ACMA, Optus’un API için erişim kontrolleri bulunduğunu ancak bir kodlama hatasının yanlışlıkla bu kontrolleri zayıflatarak bunların atlanmasına izin verdiğini iddia etti. Bu hata, özellikle internete açık olması ve uzun süre hareketsiz kalması nedeniyle API’yi savunmasız bıraktı.
Güvenlik açığının Eylül 2018’de bir kodlama hatasıyla ortaya çıktığı ve ilk olarak Ağustos 2021’de fark edildiği bildirildi. Ancak bu sorun yalnızca ana site (www.optus.com.au) için düzeltildi ve alt alan adı (muhtemelen api.www.optus) için düzeltilmedi. .com.au) güvenlik açığı bulunan API uç noktasının barındırıldığı yer.
“Kodlama hatası, Eylül 2022 ortasında gerçekleşen siber saldırı sonrasına kadar Optus tarafından tespit edilmedi. Optus, kodlama hatasını önceki dört yıl içinde aşağıdakiler de dahil olmak üzere çeşitli aşamalarda tanımlama fırsatına sahip oldu: kodlama değişikliğinin üretim ortamına yayınlandığı zaman Eylül 2018’de; Hedef Etki Alanının (ve Ana Etki Alanının) Haziran 2020’de üretim ortamı aracılığıyla internete dönük hale gelmesi; ve Ağustos 2021’de ana alan adı için kodlama hatası tespit edildiğinde.” – ACMA
Ancak şirket bunu başaramadı ve Avustralya nüfusunun üçte birinden fazlasına (yaklaşık %36) zarar verdiği iddia edildi. Telekomünikasyon gözlemcisi, Optus’un müşteri verilerini korumadaki başarısızlığının Avustralya yasaları kapsamındaki yükümlülüklerinin ihlali anlamına geldiğini iddia etti.
Optus’un ACMA’nın İddialarına Yanıtı
Optus, The Cyber Express’e yaptığı açıklamada güvenlik açığını doğruladı ve siber saldırıya ilişkin ayrıntıları verdi. Optus Geçici CEO’su Michael Venter, “Siber saldırı, siber saldırganın savunmalarımızda tarihsel bir kodlama hatasından kaynaklanan daha önce bilinmeyen bir güvenlik açığından yararlanabilmesinden kaynaklandı” dedi.
“Bu güvenlik açığı, motivasyonlu ve kararlı bir suçlu tarafından savunmalarımızı incelerken kullanıldı ve ardından müşterilerimizin verilerini korumak için mevcut olan çeşitli kimlik doğrulama ve tespit kontrollerini atlayacak adımlar atarak bu savunmalardan yararlandı ve kaçtı. Suçlu bunu olağan müşteri faaliyetlerini taklit ederek ve tespit edilmekten kaçınmak için on binlerce farklı IP adresi arasında geçiş yaparak yaptı.” – Michael Venter, Optus’un Geçici CEO’su
Venter, 2022 Optus veri ihlalinin ardından şirketin sistemlerini ve süreçlerini gözden geçirip güncellediğini söyledi. Artan küresel siber risk ortamını ele almak için gelişmiş siber savunmalara yatırım yaptı.
Şirket, olaydan duyduğu üzüntüyü dile getirerek müşteri verilerini koruma konusundaki kararlılığını vurguladı. “Müşterilerimiz bilgilerinin güvende kalacağını umuyordu. Bunun gerçekleşmediğini ve siber saldırganın bazı bilgilerine yetkisiz erişim sağladığını kabul ediyoruz” dedi Venter.
Optus, 2022’de, kötü niyetli aktörlerin yaklaşık 9,5 milyon eski ve mevcut müşterinin isimler, doğum tarihleri, telefon numaraları, e-posta adresleri ve bir müşteri alt kümesi (2.470.036) için adresler ve kimlik bilgileri dahil olmak üzere hassas bilgilerine erişmesine olanak tanıyan büyük bir müşteri veri ihlali yaşadı. ehliyet veya pasaport numaraları gibi belge numaraları.
Bilgisayar korsanı bunlardan ayrıca 10.200 Optus müşterisinin kişisel olarak tanımlanabilir bilgilerini (PII) karanlık ağda yayınladı.
Deloitte Raporu Federal Mahkemeye Sunuldu
Her ne kadar gizlilik komiseri ve ACMC ayrıntılı soruşturmalar yürütmüş olsa da, saldırıyı yayınlayınca Optus bizzat siber saldırıyla ilgili bağımsız bir dış inceleme yaptırdı. Belgeyi gizli tutma çabalarına rağmen, Avustralya federal mahkemesi geçen ay Optus’a, ihlalle ilgili önemli bilgiler sağlaması beklenen bu raporu mahkemeye sunmasını emretti.
Venter, The Cyber Express’e şunları söyledi: “Optus, ACMA ile ve Slater ve Gordon’dan ayrı olarak, onlara müşteri verilerimizi ve sistemlerimizi siber suçlulardan uygun şekilde koruyan Deloitte Raporunun gizli bir versiyonunu sağlamak amacıyla çalışıyor.”
Deloitte tarafından hazırlanan ve ihlalin teknik yönlerini detaylandıran adli tıp raporu nihayet Cuma günü federal mahkemeye teslim edildi. Bu raporda açıklanan ayrıntılar, Optus’a karşı ayrı bir toplu davada da kullanılacak.
“Müşterilerimizin Güvenini Tam Olarak Yeniden Kazanmak İçin Yapacak Çok Şey Var”
Optus, ihlalin müşterinin güveni üzerindeki etkisini kabul ederken, Venter olaydan derin üzüntü duyduğunu ifade etti. Optus, 20.071 mevcut ve eski müşterisine kimlik belgelerinin değiştirilmesi masraflarını geri ödedi. Şirket ayrıca ihlalle ilgili olarak devlet kurumlarının maruz kaldığı masrafları da karşılıyor.
Optus, ACMA’nın soruşturmasında işbirliği yapma ve eylemlerini mahkemede savunma sözü vererek yanlış anlamaları düzeltmeyi ve siber güvenlik önlemlerini iyileştirmeyi amaçlıyor.
“Optus, müşterilerimizin güvenini tam olarak yeniden kazanmak için hala yapacak çok şeyimiz olduğunun farkında ve bu hedef doğrultusunda yorulmadan çalışmaya devam edeceğiz.” – Michael Venter
Optus veri ihlali, sağlam erişim kontrollerinin ve siber güvenlik açıklarının titizlikle izlenmesinin kritik önemini vurguluyor. Olay, dünya çapındaki kuruluşlar için hassas verilerin kapsamlı bir şekilde korunmasını sağlamak ve proaktif ve şeffaf güvenlik uygulamaları yoluyla müşteri güvenini sürdürmek için bir uyarı niteliğindedir.
Dava ilerledikçe telekomünikasyon sektöründeki siber güvenliğin karmaşıklığı ve gelecekte benzer ihlalleri önlemek için gerekli önlemler hakkında daha fazla bilgi sağlanacak.