Errore di codifica API: La mega violazione di dati di Optus, che ha esposto le informazioni personali di oltre 9 milioni di clienti, è stata causata da un errore di codifica in un’API obsoleta lasciata online per anni con accesso scadente.
La Commissione e l’Autorità dei Media australiani (ACMA) ha presentato una denuncia in tribunale [PDF] contro Optus, accusandola di aver lasciato online un’API obsoleta con accesso scadente, esponendo i dati dei clienti a un attacco.
L’API obsoleta, denominata “Target API”, è stata creata per separare il traffico API dal contenuto statico sul dominio principale di Optus. Tuttavia, nel 2018, un errore di codifica ha compromesso le protezioni di accesso dell’API, rendendola vulnerabile agli attacchi.
Optus ha rilevato l’errore nel 2021 e ha corretto il problema sul dominio principale, ma non ha disabilitato l’API obsoleta. Di conseguenza, l’API obsoleta è rimasta online e accessibile a chiunque, rendendola vulnerabile a un attacco.
Nel settembre 2022, un attaccante ha bypassato le protezioni di accesso dell’API e ha ottenuto l’accesso alle informazioni personali di 9,5 milioni di clienti Optus, causando una crisi per Optus e il suo proprietario, Singtel.
L’ACMA ha descritto l’attacco come “non altamente sofisticato” e “facilmente riproducibile”. Optus non ha contestato l’account dell’attacco.
Questa vicenda evidenzia l’importanza di garantire la sicurezza delle API e di disabilitare quelle obsolete o non più necessarie. Ecco alcune best practice per garantire la sicurezza delle API:
- Eseguire regolarmente il monitoraggio delle API: Tenere traccia di tutte le API e monitorarle regolarmente per rilevare eventuali vulnerabilità o attività sospette.
- Implementare protezioni di accesso robuste: Utilizzare meccanismi di autenticazione e autorizzazione forti per proteggere l’accesso alle API.
- Disabilitare le API obsolete: Disabilitare o eliminare le API obsolete o non più necessarie per ridurre il rischio di attacchi.
- Eseguire il testing della sicurezza: Effettuare il testing della sicurezza delle API per rilevare eventuali vulnerabilità o debolezze.
- Mantenere aggiornato il software: Mantenere aggiornato il software API per garantire la protezione da eventuali vulnerabilità note.
In sintesi, la violazione dei dati di Optus è stata causata da un errore di codifica in un’API obsoleta lasciata online per anni con accesso scadente. Questo incidente evidenzia l’importanza di garantire la sicurezza delle API e di adottare best practice per proteggere i dati dei clienti.
Fonte: https://go.theregister.com/feed/www.theregister.com/2024/06/21/optus_data_breach_faulty_api/
