Bíróság elé kerül az a kiberbiztonsági incidens, amelynek során 2022 szeptemberében az Optus távközlési szolgáltató közel 10 millió ügyfél érzékeny személyes adata került illetéktelenekhez.
Szűk két évvel ezelőtt a vállalat akkori vezérigazgatója, Kelly Bayer Rosmarin még különleges és kifinomult támadásról beszélt, amivel az elkövetőknek végül sikerült beférkőzni a szervezet amúgy rendkívül biztonságos hálózatába. Ehhez képest a nemzeti hírközlési és médiahatóság által időközben lefolytatott vizsgálata egészen más eredményre jutott.
Hanyagságot hibára halmoztak
Az ACMA beszámolóját egy héten benyújtott bírósági beadvány [PDF] tartalmazza, és kiderül belőle, hogy az Optus két domainen is lehetővé tette azt, hogy hitelesített felhasználók kívülről hozzáférhessenek az ügyféladatokhoz. Az API-n keresztül végzett adatáramlást "különböző, a jogosulatlan hozzáférés megakadályozására szolgáló hozzáférési ellenőrzésekkel" biztosították, ám ezek az ellenőrzések egy 2018-ban elkövetett kódolási hiba miatt megborultak.
Sokára ugyan, de 2021-ben ezt észlelték a cégnél, ám csak az elsődleges domainnél szúrták ki és javították azt. Az időközben használaton kívül helyezett másik domain azonban továbbra is elérhető és sebezhető maradt a külvilág felől. A bírósági beadvány ezt tételesen fel is rója az Optusnak, mivel annak ellenére nem vonták ki az oldalt a forgalomból, hogy arra már nem volt szükség.
Az ACMA jelentése szerint "a kibertámadás nem volt rendkívül kifinomult vagy olyan, amely fejlett készségeket vagy az Optus folyamatainak vagy rendszereinek belső ismeretét igényelte volna". A támadást a lehető legegyszerűbb, próbálgatásos (trial and error) módszerrel hajtották végre.
Ahogy említettük, mindez éles ellentétben áll a vezérigazgató korai nyilatkozatával. Kelly Bayer Rosmarin ugyanakkor már nem dolgozik az Optusnál, mivel bő egy évvel (és egy súlyos szolgáltatáskimaradással) később lemondott pozíciójáról.
Az ügyről beszámoló Register szerint az Optus nem emelt kifogást az ACMA jelentének tartalma ellen. Az ausztrál telkót tulajdonló szingapúri Singtel pedig azt közölte a befektetőivel, hogy nem tudja megbecsülni, mekkora összegű büntetésre számíthatnak az ügyben, de megtesznek mindent, hogy megvédjék magukat a bírósági tárgyaláson.
(Illusztráció: Optus)
Digitalizáció a mindennapokban: hogyan lesz a stratégiai célból napi működés?
A digitális transzformáció sok vállalatnál már nem cél, hanem elvárás – mégis gyakran megreked a tervezőasztalon. A vezetői szinten megfogalmazott ambiciózus tervek nehezen fordulnak át napi működéssé, ha hiányzik a technológiai rugalmasság vagy a belső kohézió.
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak