histats

Contrairement à Uber, Optus n’a peut-être pas été “piraté”

Contrairement à Uber, Optus n’a peut-être pas été “piraté”

données optus

Source : Bianca De Marchi/AAP Image

Pas même deux semaines ne se sont écoulées depuis qu’Uber a été piraté et maintenant Optus, l’une des principales sociétés de télécommunications d’Australie, a subi un sort similaire, beaucoup plus public.

Lors de la récente panne d’Optus, 9 millions d’Australiens qui avaient n’a jamais vraiment été Les clients d’Optus ont vu leurs données compromises. Quiconque a déjà partagé une adresse e-mail avec Optus ou ses partenaires fait désormais partie de la violation, ce qui signifie que ce ne sont pas seulement les clients existants et actifs qui sont à risque.

Le coût de la restauration de la réputation de la marque à ce stade est incalculable. Une recherche rapide sur Google pour “Optus Data Leak” affichera 6,06 millions de résultats (en un peu moins de 42 secondes) et un certain nombre de titres d’actualités grand public. Le voyage pour laver cette saleté sera long et coûteux.

Les chefs d’entreprise devraient prendre le temps de disséquer les deux hacks, comment ils se sont produits et de comprendre si leur entreprise est en danger. Alors que le piratage d’Uber peut être attribué à une erreur ou à un accident, les rumeurs d’une “API ouverte” qui a permis la violation d’Optus peuvent difficilement être considérées comme un piratage, mais plutôt comme un exemple flagrant de négligence en matière de sécurité de la part de l’entreprise.

Les entreprises doivent observer ces méthodes et chercher des moyens de protéger leur propre patch.

Uber contre Optus : qu’est-ce qui s’est passé ?

Alors qu’Uber et Optus occupent actuellement le devant de la scène, des milliers de piratages surviennent chaque jour dans des entreprises de toutes tailles. Twilio, un service de communication SMS B2B basé aux États-Unis, a également été piraté peu de temps avant Uber de la même manière.

See also  How Bitcoin Gambling Works

Il est important de noter la différence entre les violations d’Uber et d’Optus, qui sont toutes deux le résultat d’une négligence interne, mais de manière très différente.

Les hacks Uber (et Twilio) étaient en fait plus intelligents du point de vue d’un pirate informatique, même s’ils étaient moins dommageables. Ces piratages ont été réalisés grâce au processus de mauvaise gestion des mots de passe et d’authentification multifacteur, et les deux étaient probablement entre les mains d’un employé interne qui a partagé les mauvaises informations avec le mauvais lien, qui est ensuite tombé entre de mauvaises mains.

Ces types de hacks sont très convaincants et dans ce cas, vous pouvez même vous sentir désolé que quelque chose d’aussi malheureux soit arrivé à l’employé. Mais ça arrive.

Optus, en revanche, est un peu plus choquant. Pas seulement à cause du volume de données exposées, mais parce que le piratage lui-même était si simple – si ce que nous lisons s’avère vrai.

Sur quoi spécule-t-on est que le pirate a pu prendre ces données via une interface de programmation d’application (API) ouverte. Les API sont souvent utilisées par les entreprises pour partager des données entre deux systèmes. Nous en gérons un chez Zoom2u qui permet aux clients de nous envoyer des commandes, par exemple.

Optus prétendument disposait d’une API ouverte sur le monde, permettant à toute personne ayant une expérience ou une compréhension du développement d’accéder aux données des clients. Pas la solution la plus intelligente.

C’est l’équivalent technologique de laisser la porte d’entrée ouverte et de s’attendre à ce que rien ne soit volé.

Il ne s’agit pas seulement d’un ou deux gros hacks

Quelle que soit la manière dont les piratages se sont produits, les deux ont compromis les données personnelles de millions d’Australiens. Dans le cas d’Optus, tout, des détails de l’assurance-maladie aux permis de conduire. Uber et Optus ne sont pas seulement des noms familiers, ce sont des marques vers lesquelles les consommateurs affluent par millions parce qu’elles sont sûres, sécurisées et fiables. Pas aujourd’hui.

Le problème avec les hacks de cette envergure est qu’ils continuent d’évoluer, à la manière de dominos. Les données volées peuvent ensuite être utilisées pour recréer des comptes pour d’autres services, y compris la demande de cartes de crédit, ce qui entraînera encore plus de cas de vol individuel dans les mois à venir.

See also  L'étude affirme que plus de la moitié des joueurs ressentent une colère extrême à cause des jeux vidéo

De plus, on ne sait pas depuis combien de temps l’API soi-disant ouverte est disponible et depuis combien de temps elle est menacée.

Même si ce pirate a déclaré ouvertement qu’il a pris un grand volume de données, quelles preuves avons-nous que d’autres pirates n’ont pas déjà accédé à cette API et pris une plus petite quantité de données – qui sont peut-être passées inaperçues – avant ce point ?

Optus n’a été mis au courant de ce piratage qu’en raison de son ampleur, mais un vol de 100 000 enregistrements de données, par exemple, peut être passé inaperçu. Bien que le battage médiatique et l’attention des médias soient sur ce seul gros hack, cela se produit probablement depuis des mois.

Mettre l’accent sur les solutions

Alors que des rumeurs de recours collectifs émergent et que des doigts sont pointés, les entreprises de toutes tailles devraient immédiatement se concentrer sur les solutions disponibles pour protéger votre dos et les données de vos clients.

Il est temps d’accepter que les pirates sont devenus beaucoup plus intelligents. Il est très facile pour un employé ou un collègue de recevoir un e-mail ou un SMS qui semble légitime, il est donc inutile de jouer au jeu du blâme.

Lorsqu’il s’agit de renforcer vos processus d’authentification multifacteur (où Uber et Twilio ont laissé tomber la balle), des solutions comme Yubico peut être exploré.

Ces outils d’authentification de type USB offrent une protection puissante contre les cybercriminels en réduisant les points d’infiltration des cybercriminels qui sont si répandus dans les méthodes préférées aujourd’hui, comme l’ont démontré Uber et Twilio.

Au lieu de SMS ou d’authentification multifacteur virtuelle, le périphérique USB se connecte à l’ordinateur de l’utilisateur et celui-ci ne peut se connecter au périphérique physique que lorsque l’USB est connecté. Cela permet essentiellement aux détails du mot de passe de tomber entre d’autres mains que les utilisateurs, et non entre de mauvaises mains.

See also  HisWattson affirme que le joueur de rang 1 d'Apex Legends a été boosté par un hacker

Les entreprises devraient envisager de déployer des périphériques USB physiques pour tous leurs utilisateurs qui doivent s’authentifier sur un réseau. Est-ce plus cher ? Oui. La mise en œuvre et le déploiement d’appareils physiques seront-ils faciles ? Non. Mais je garantis qu’Uber et Optus sauteront sur l’occasion pour des coûts de matériel supplémentaires en comparaison le coût de leurs récents scandales de violation de données.

La sécurité la prochaine étape pour tout le monde

La morale de l’histoire n’est pas sorcier : les processus de sécurité simples doivent être réévalués et doivent évoluer avec l’évolution rapide du paysage. Depuis près de deux ans, nous répétons le mantra “le monde est en ligne” – alors pourquoi ces hacks sont-ils un choc ?

Les pirates sont plus intelligents que nous ne le croyons, et les entreprises – en particulier celles aussi grandes qu’Optus – ne devraient jamais sous-estimer la facilité d’intervention des données pour quelqu’un ayant une solide expérience en développement.

Tenez compte de votre situation actuelle. Assurez-vous que tous les logiciels de sécurité tiers que vous utilisez sont à jour, faites appel à une société tierce pour effectuer des tests de sécurité sur votre entreprise et vos équipes, et implémentez des tests de pénétration sur les infrastructures de serveurs pour identifier les vulnérabilités.

Faites de la sécurité une priorité, même lors du développement de votre produit. C’est quelque chose qui devrait être pris en compte au niveau du conseil d’administration et du PDG, en particulier pour les organisations où les retombées potentielles pourraient être le clou dans le cercueil d’un Marque de 8 à 12 milliards de dollars.

Nous verrons les retombées de la fuite d’Optus pendant des semaines et des mois à venir. Découpez vos cartes bancaires, mettez à jour vos mots de passe, et si vous êtes chef d’entreprise, enclenchez la transition vers une structure USB, car ce n’est pas la dernière fois que nous verrons des entreprises comme Optus et Uber “se brancher”.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *