Avustralya İletişim ve Medya Otoritesi’ne (ACMA) göre, erişim kontrolündeki bir kodlama hatasının API’yi kötüye kullanıma açık bıraktığı ve Optus veri ihlalini kolaylaştırdığı iddia ediliyor.
Dün yayınlanan mahkeme kararlarına eklenen, kısmen düzeltilmiş iddia beyanı [pdf]ACMA’nın Optus’un müşteri verilerini korumama konusundaki yükümlülüklerini ihlal ettiği iddiasıyla yapacağı iddiayı ortaya koyuyor.
Veri ihlali daha önce internete yönelik, kimliği doğrulanmamış bir API uç noktasının varlığına bağlanmıştı.
İddia beyanı, olayların daha önce rapor edilen versiyonunu doğruluyor ancak API kullanımına ilişkin izinleri yönetmek için erişim kontrollerinin mevcut olup olmadığı konusunda farklılık gösteriyor.
ACMA, Optus’un API için erişim kontrollerine sahip olduğunu, ancak yanlışlıkla bir kod değişikliğiyle API’yi zayıflatarak onun atlanmasına olanak sağladığını iddia ediyor.
Saldırıya, API uç noktasının internete dönük olmasına rağmen uzun bir süre boyunca “hareketsiz ve kullanımda” olmamasının da yardımcı olduğu iddia edildi.
ACMA, Optus’un kodlama hatasını Ağustos 2021’de – yapıldıktan yaklaşık üç yıl sonra – ancak yalnızca ana sitesi www.optus.com.au ile ilgili olarak fark ettiğini iddia ediyor.
Bir alt alan adındaki API uç noktası için “aynı sorunu algılamadı veya düzeltmedi”.
ACMA, Optus’un, savunmasız erişim kontrolünün, istismar edilmeden önce API uç noktasını da etkilediğini anlamak için en az üç şansı olduğunu iddia ediyor.
Uç nokta, veri ihlalinin ortaya çıkmasından dört gün sonra 21 Eylül 2022’de çevrimdışına alındı.
Optus’un söyledikleri
Bir açıklamada iTnewsOptus, ACMA belgelerinin yayınlandığını kabul etti ve koddaki güvenlik açığını doğruladı.
Geçici CEO Michael Venter, “Siber saldırı, siber saldırganın savunmalarımızda tarihsel bir kodlama hatasından kaynaklanan daha önce bilinmeyen bir güvenlik açığından yararlanabilmesinden kaynaklandı” dedi.
“Bu güvenlik açığı, motivasyonlu ve kararlı bir suçlu tarafından savunmalarımızı incelerken kullanıldı ve ardından müşterilerimizin verilerini korumak için mevcut olan çeşitli kimlik doğrulama ve tespit kontrollerini atlayacak adımlar atarak bu savunmalardan yararlandı ve kaçtı.
“Suçlu bunu olağan müşteri faaliyetlerini taklit ederek ve tespit edilmekten kaçınmak için on binlerce farklı IP adresi arasında geçiş yaparak yaptı.”
Optus, saldırının ardından güvenlik açığının kapatıldığını ve “o zamandan bu yana sistemlerini ve süreçlerini gözden geçirdiğini ve artan küresel siber risk ortamını karşılamak için siber savunmalarını güçlendirmek için yatırım yapmaya devam ettiğini” doğruladı.
Venter, Optus’un Federal Mahkeme davasında “ACMA ile işbirliği yapmaya devam edeceğini” belirterek, “bu davayı savunmayı ve gerektiğinde kayıtları düzeltmeyi planladığını” ekledi.
Deloitte rapor erişimi
ACMA avukatı muhtemelen Deloitte tarafından hazırlanan ve hafta sonuna kadar kendilerine ulaşacak olan adli tıp raporu biçimindeki daha fazla teknik ayrıntıyı öğrenecek.
Aynı rapor, belgeyi gizli tutma çabalarına rağmen telekomünikasyon şirketine karşı açılan ayrı bir toplu davada da teslim ediliyor.
ACMA’nın kısa beyanı, sistem ve teknoloji adlarıyla ilgili bazı düzeltmelerle birlikte yayınlandı.
Kimlik belgesinin yeniden düzenlenmesiyle ilgili geri ödemeler
Teknik açıklamayla ilgisi olmayan ancak sonrasındaki ACMA mahkemesi dosyası, ihlalin ardından Optus’un 20.071 mevcut ve eski müşteriye kimlik belgelerinin değiştirilmesi masraflarını geri ödediğini ve aynı zamanda masrafları da ödediğini ortaya koyuyor devlet kurumları tarafından da karşılanmaktadır.
Konu, 13 Eylül’deki vaka yönetimi duruşması için listelendi.