Optus数据泄露与ACMA指控

关键要点

澳大利亚通信和媒体管理局ACMA指控Optus的数据泄露是由于未能检测到的编码错误。编码错误使攻击者能够绕过访问控制并请求客户数据。ACMA的文件声称该攻击并不复杂，且Optus在过去几次机会中未能发现错误。数据泄露影响了950万名Optus客户，其中包括大量活跃用户的个人信息。

信源：Supplied Art获授权

澳大利亚通信和媒体管理局ACMA指出，2022年9月的Optus数据泄露是由于一个未被察觉的编码错误所致，该错误在2022年9月17日至20日及四年前的时间段内均未被发现。

ACMA于6月19日向澳大利亚联邦法院维多利亚登记处提交了相关指控的文件。然而，这些指控并不基于Optus委托的德勤报告，Optus原本在今天之前需将该报告交给通信管理局。

海鸥加速器免费下载

编码错误导致客户数据的API访问

为Optus客户创建了一个检索数据的系统，包括通过位于wwwoptuscomau的主域名和apiwwwoptuscomau的目标域名访问的API。这一访问最初仅在客户身份验证成功后才得以实现。

在数据泄露发生后几天，ABC新闻网报道指出这是泄露的原因，但当时Optus对此表示否认。

自2017年4月20日起，目标域名对外可见，API的访问也得到了保护。麻烦始于2018年9月，当时一个访问控制的编码错误被引入，ACMA在其文件中声称，使这些访问控制对两个域名无效。“随着这两个域名在2020年6月上线，且编码错误仍然存在，这使得它们容易受到攻击。”

Optus在2021年8月发现了使主域名易受攻击的编码错误并进行了修复，但并未对目标域名采取同样措施。这一错误一直活跃至Optus在2022年9月识别出数据泄露。

ACMA声称Optus在数据泄露前有三次识别错误的机会，但未能做到。“在2018年9月编码变更发布到生产环境后，目标域名和主域名在2020年6月进入互联网环境时，以及在2021年8月对于主域名检测到编码错误时。”

“目标域名被允许闲置且易受攻击两年，尽管对其不存在任何使用需求，也未被弃用。”

在发给媒体的声明中，Optus确认，网络攻击是由于“网络攻击者能够利用我们防御中的一个未被公开的漏洞，这一漏洞源于历史上的编码错误。”

网络攻击者利用这个编码错误绕过了访问控制，向目标API发送请求，返回了客户数据。更为严重的是，ACMA指控此次网络攻击并不复杂，不需要高级技能或对Optus内部流程的了解。“这一攻击通过简单的试错过程完成。”

Optus声称，该漏洞被一个有动机和决心的犯罪分子利用，“在他们不断探测我们的防御之后，利用并规避了这些防御，通过伪装成正常客户活动并旋转使用数万个不同的IP地址来逃避检测。”

ACMA对Optus的诉讼

2024年5月20日，ACMA对Optus在联邦法院提起诉讼，指控其在2022年9月17日至20日的数据泄露期间未能保护客户个人信息的机密性，未能防止未经授权的干扰或访问，违反了1979年的《电信拦截与