Търсене
Close this search box.

В унищожителен доклад на комисаря по информацията на Австралия се описва как неправилни конфигурации и пропуснати предупреждения са позволили на хакер да проникне в Medibank и да открадне данни на над 9 милиона души.

През октомври 2022 г. австралийският здравноосигурителен доставчик Medibank разкрива, че е претърпял кибератака, която е нарушила дейността на компанията.

Седмица по-късно компанията потвърди, че извършителите на атаката са откраднали всички лични данни на клиентите ѝ и голям брой данни за здравни претенции, което е довело до нарушаване на сигурността на данните, засегнало 9,7 милиона души.

По-късно данните от атаката бяха публикувании от банда за рансъмуер, известна като BlogXX, за която се смяташе, че е разклонение на  REvil, която беше затворена.

В крайна сметка атаката беше свързана с руски гражданин на име Александър Генадиевич Ермаков, който беше санкциониран от Австралия, Обединеното кралство и САЩ.

Констатации на OAIC

В нов доклад, публикуван от Службата на австралийския комисар по информацията (OAIC), разследването на агенцията установи, че значителни оперативни пропуски са позволили на хакера да пробие мрежата на Medibank.

„Комисарят твърди, че от март 2021 г. до октомври 2022 г. Medibank сериозно се е намесила в личния живот на 9,7 милиона австралийци, като не е предприела разумни мерки за защита на личната им информация от злоупотреба и неоторизиран достъп или разкриване в нарушение на Закона за защита на личните данни от 1988 г.“, се казва в прессъобщение на OAIC.

Според доклада всичко е започнало с това, че изпълнител на Medibank (IT Service Desk Operator) е използвал личния си профил в браузъра на работния си компютър и е запазил идентификационните си данни за Medibank в браузъра.

След това тези пълномощия са били синхронизирани с домашния му компютър, който се е заразил със зловреден софтуер за кражба на информация, което е позволило на участниците в заплахата да откраднат всички запазени пароли в браузъра му на 7 август 2022 г. Тези идентификационни данни осигурявали достъп както до стандартен, така и до акаунт с повишен достъп (администратор) в Medibank.

„По време на съответния период акаунтът на администратора е имал достъп до повечето (ако не и до всички) системи на Medibank, включително до мрежови дискове, конзоли за управление и достъп от отдалечен десктоп до сървъри на jump box (използвани за достъп до определени директории и бази данни на Medibank)“, се казва в доклада на OAIC.

Не е ясно дали нападателят, който стои зад пробива в Medibank, е закупил откраднатите идентификационни данни от онлайн пазар за киберпрестъпления в тъмната мрежа или е провел кампанията за кражба на информация чрез зловреден софтуер.

Въпреки това нападателят е започнал да използва тези пълномощия на 12 август, за да пробие първо сървъра Microsoft Exchange на компанията, а по-късно да влезе във виртуалната частна мрежа (VPN) на Palo Alto Networks Global Protect на Medibank, осигурявайки вътрешен достъп до корпоративната мрежа.

В доклада се посочва, че Medibank не е успяла да защити данните на потребителите, тъй като не е приложила многофакторна автентификация на идентификационните данни за VPN и е позволила на всеки, който има достъп до идентификационните данни, да влезе в устройството.

„Престъпникът е бил в състояние да се удостовери и да влезе в Global Protect VPN на Medibank, използвайки само идентификационните данни на Medibank, тъй като през съответния период достъпът до Global Protect VPN на Medibank не е изисквал две или повече доказателства за самоличност или многофакторна автентикация (MFA). По-скоро Global Protect VPN на Medibank е била конфигурирана така, че е бил необходим само сертификат на устройството или потребителско име и парола (като например данните на Medibank)“, продължава докладът.

Използвайки този достъп до вътрешната мрежа, извършителят е започнал да се разпространява из системите, като между 25 август и 13 октомври 2022 г. е откраднал 520 GB данни от системите MARS Database и MPLFiler на компанията.

Тези данни са включвали имена на клиенти, дати на раждане, адреси, телефонни номера, имейл адреси, номера на Medicare, номера на паспорти, информация, свързана със здравето, и данни за искове (като имена на пациенти, имена на доставчици, кодове на първична/вторична диагноза и процедура и дати на лечение.

В доклада се твърди, че на 24 и 25 август софтуерът EDR на компанията е подал сигнали за подозрително поведение, които не са били правилно подбрани.

Едва в средата на октомври, когато Medibank привлича фирма за разузнаване на заплахи, за да разследва инцидента с Microsoft Exchange ProxyNotShell, открива, че данните са били откраднати преди това при кибератаката.

Защита на идентификационните данни с MFA

Тъй като милиарди удостоверения са били откраднати от зловреден софтуер за кражба на информация и нарушения на сигурността на данните, това създава огромна повърхност за атаки, срещу която е трудно да се защити без допълнителни средства за защита, като например многофакторно удостоверяване.

Всички организации трябва да работят с допускането, че техните корпоративни удостоверения са били изложени на риск по някакъв начин, и по този начин използването на MFA добавя допълнителна защита, която значително затруднява проникването в мрежата от страна на  заплахите.

Това е особено вярно за VPN шлюзовете, които са проектирани да бъдат публично изложени в интернет, за да позволят на отдалечените служители да влизат в корпоративните мрежи.

Това обаче също така осигурява повърхност за атака, която обикновено е цел на бандите за откуп и други  заплахи за пробив в мрежите и поради това трябва да бъде защитена с допълнителни защити, като например MFA.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
02/10/2024

Нарушението на данните на P...

Кредитният съюз Patelco е информирал властите,...
01/10/2024

Хавайски здравен център раз...

Клиниката на общността в Мауи съобщава,...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!