Falha em API terá levado ao roubo de dados de 9 milhões de utilizadores

Publicado em por

Falha em API terá levado ao roubo de dados de 9 milhões de utilizadores

A operadora australiana Optus recentemente foi alvo de um largo roubo de dados, onde se acredita que mais de nove milhões de clientes foram afetados com dados pessoais expostos. E agora, conhecem-se mais detalhes sobre o que realmente aconteceu.

De acordo com os dados apresentados ao tribunal, a operadora confirmou que o ataque ocorreu derivado de uma falha no código da API, que teria criado erros no controlo da mesma, e terá sido deixada ativa durante anos nos sistemas da empresa.

Segundo os documentos, a falha estaria presente em alguns dos sistemas da API da empresa, usados para recolher e verificar os dados dos clientes. Esta API deveria ser usada apenas de forma interna, para recolha dos dados dos clientes e sem acesso direto para a internet.

No entanto, em meados de 2018, uma falha na atualização do código da API terá levado a que os sistemas ficassem acessíveis publicamente. Esta falha ainda foi identificada pela empresa, em meados de 2021, mas apenas um dos sistemas onde a mesma se encontrava presente foi corrigido.

Isto deixou um sistema ainda ativo para a internet, o que, no final, levou a que os dados fossem eventualmente roubados. Em Setembro de 2022, um atacante terá descoberto esta falha, e usou a mesma para enviar pedidos falsos ao sistema, recolhendo os dados dos clientes o processo.