Bíróság elé kerül az a kiberbiztonsági incidens, amelynek során 2022 szeptemberében az Optus távközlési szolgáltató közel 10 millió ügyfél érzékeny személyes adata került illetéktelenekhez.
Szűk két évvel ezelőtt a vállalat akkori vezérigazgatója, Kelly Bayer Rosmarin még különleges és kifinomult támadásról beszélt, amivel az elkövetőknek végül sikerült beférkőzni a szervezet amúgy rendkívül biztonságos hálózatába. Ehhez képest a nemzeti hírközlési és médiahatóság által időközben lefolytatott vizsgálata egészen más eredményre jutott.
Hanyagságot hibára halmoztak
Az ACMA beszámolóját egy héten benyújtott bírósági beadvány [PDF] tartalmazza, és kiderül belőle, hogy az Optus két domainen is lehetővé tette azt, hogy hitelesített felhasználók kívülről hozzáférhessenek az ügyféladatokhoz. Az API-n keresztül végzett adatáramlást "különböző, a jogosulatlan hozzáférés megakadályozására szolgáló hozzáférési ellenőrzésekkel" biztosították, ám ezek az ellenőrzések egy 2018-ban elkövetett kódolási hiba miatt megborultak.
Sokára ugyan, de 2021-ben ezt észlelték a cégnél, ám csak az elsődleges domainnél szúrták ki és javították azt. Az időközben használaton kívül helyezett másik domain azonban továbbra is elérhető és sebezhető maradt a külvilág felől. A bírósági beadvány ezt tételesen fel is rója az Optusnak, mivel annak ellenére nem vonták ki az oldalt a forgalomból, hogy arra már nem volt szükség.
Az ACMA jelentése szerint "a kibertámadás nem volt rendkívül kifinomult vagy olyan, amely fejlett készségeket vagy az Optus folyamatainak vagy rendszereinek belső ismeretét igényelte volna". A támadást a lehető legegyszerűbb, próbálgatásos (trial and error) módszerrel hajtották végre.
Ahogy említettük, mindez éles ellentétben áll a vezérigazgató korai nyilatkozatával. Kelly Bayer Rosmarin ugyanakkor már nem dolgozik az Optusnál, mivel bő egy évvel (és egy súlyos szolgáltatáskimaradással) később lemondott pozíciójáról.
Az ügyről beszámoló Register szerint az Optus nem emelt kifogást az ACMA jelentének tartalma ellen. Az ausztrál telkót tulajdonló szingapúri Singtel pedig azt közölte a befektetőivel, hogy nem tudja megbecsülni, mekkora összegű büntetésre számíthatnak az ügyben, de megtesznek mindent, hogy megvédjék magukat a bírósági tárgyaláson.
(Illusztráció: Optus)
Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében
"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.
Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni
A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak