因外包人員失誤:這家保險巨頭內(nèi)網(wǎng)淪陷、發(fā)生嚴(yán)重數(shù)據(jù)泄露事件
責(zé)編:gltian |2024-06-21 14:57:17澳大利亞信息專員辦公室(OAIC)日前發(fā)布了一份措辭嚴(yán)厲的調(diào)查報告,詳細說明了黑客如何憑借配置錯誤和未處理的警報突破Medibank公司的安全防線,并竊取超過900萬人的數(shù)據(jù)。
2022年10月,澳大利亞健康保險提供商Medibank披露其遭遇了一次網(wǎng)絡(luò)攻擊,導(dǎo)致公司運營中斷。一周后,公司確認(rèn)攻擊者竊取了其所有客戶的個人數(shù)據(jù)和大量健康索賠數(shù)據(jù),970萬人的數(shù)據(jù)被泄露。
此次攻擊所涉數(shù)據(jù)后來被一個名為BlogXX的勒索軟件團伙泄露,據(jù)信該團伙是已被關(guān)閉的REvil勒索軟件團伙的分支機構(gòu)。此次攻擊最終被追溯到一名俄羅斯人Aleksandr Gennadievich Ermakov,他已被澳大利亞、英國和美國制裁。
澳大利亞官方調(diào)查結(jié)果
根據(jù)OAIC發(fā)布的報告,該機構(gòu)通過調(diào)查確定,重大運營失誤導(dǎo)致黑客突破了Medibank的網(wǎng)絡(luò)。
OAIC新聞稿稱:“澳大利亞信息專員指控,從2021年3月至2022年10月,Medibank未能采取合理措施保護客戶個人信息免遭濫用、未經(jīng)授權(quán)的訪問或披露,違反了1988年《隱私法》,嚴(yán)重侵犯了970萬澳大利亞人的隱私。”
根據(jù)報告,一切始于一名Medibank的承包商(IT服務(wù)臺操作員),他在工作電腦上使用個人瀏覽器配置文件,并將其Medibank憑據(jù)保存在瀏覽器中。這些憑據(jù)隨后同步到他的家用電腦,而這臺電腦感染了信息竊取惡意軟件。威脅行為者得以竊取其瀏覽器中保存的所有密碼。2022年8月7日,威脅行為者利用這些憑據(jù),獲得了對Medibank標(biāo)準(zhǔn)賬戶和高級訪問(管理員)賬戶的訪問權(quán)限。
OAIC報告稱:“在相關(guān)期間,管理員賬戶可以訪問Medibank的大部分(即便不是全部)系統(tǒng),包括網(wǎng)絡(luò)驅(qū)動器、管理控制臺和遠程桌面訪問跳轉(zhuǎn)服務(wù)器(用于訪問Medibank某些目錄和數(shù)據(jù)庫)。”
尚不清楚Medibank漏洞攻擊者是從在線暗網(wǎng)網(wǎng)絡(luò)犯罪市場購買了被盜憑據(jù),還是進行了信息竊取惡意軟件攻擊。無論如何,威脅行為者從2022年8月12日開始使用這些憑據(jù),首先突破了公司的Microsoft Exchange服務(wù)器,然后登錄Medibank的Palo Alto Networks Global Protect虛擬專用網(wǎng)絡(luò)(VPN)工具,獲得了公司網(wǎng)絡(luò)的內(nèi)部訪問權(quán)限。
報告指出,Medibank未能保護用戶數(shù)據(jù),因為其未對VPN憑據(jù)強制執(zhí)行多因素認(rèn)證,導(dǎo)致任何擁有憑據(jù)的人都能登錄設(shè)備。報告繼續(xù)寫道:“威脅行為者僅使用Medibank憑據(jù)就能通過認(rèn)證,登錄Medibank的Global Protect VPN。這是因為,在相關(guān)期間,訪問Medibank的Global Protect VPN不需要兩個或兩個以上的身份證明或多因素認(rèn)證。相反,Medibank的Global Protect VPN被配置為,只需要設(shè)備證書或用戶名和密碼(例如Medibank憑據(jù))即可登錄。”
利用對內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限,威脅行為者開始在系統(tǒng)中擴散。2022年8月25日至10月13日期間,他們從公司的MARS數(shù)據(jù)庫和MPLFiler系統(tǒng)竊取了520GB數(shù)據(jù)。這些數(shù)據(jù)包括客戶的姓名、出生日期、地址、電話號碼、電子郵件地址、Medicare號碼、護照號碼、健康相關(guān)信息和索賠數(shù)據(jù)(例如患者姓名、醫(yī)療服務(wù)提供商姓名、主要/次要診斷和程序代碼以及治療日期)。
更糟糕的是,報告指出,公司的EDR軟件于2022年8月24日和25日發(fā)出關(guān)于可疑行為的警報,但未得到適當(dāng)?shù)奶幚怼V钡?0月中旬,Medibank才請來威脅情報公司調(diào)查Microsoft Exchange ProxyNotShell事件,這才發(fā)現(xiàn)數(shù)據(jù)已經(jīng)因網(wǎng)絡(luò)攻擊被竊取。
通過多因素認(rèn)證保護憑據(jù)
信息竊取惡意軟件和數(shù)據(jù)泄露已經(jīng)導(dǎo)致數(shù)十億憑據(jù)被盜,形成了一個難以防御的大規(guī)模攻擊面,我們必須采取額外的防御措施(如多因素認(rèn)證)加以應(yīng)對。所有組織都必須假設(shè)其公司憑據(jù)已經(jīng)以某種方式暴露。因此,他們需要使用多因素認(rèn)證增加一道額外防線,加大威脅行為者突破網(wǎng)絡(luò)的難度。
這對于VPN網(wǎng)關(guān)尤其重要,因為它們設(shè)計為在互聯(lián)網(wǎng)公開暴露,以允許遠程員工登錄公司網(wǎng)絡(luò)。這也提供了一個常被勒索軟件團伙和其他威脅行為者針對的攻擊面,因此必須用額外的防御措施(如多因素認(rèn)證)加以保護。
參考資料:https://www.bleepingcomputer.com/news/security/scathing-report-on-medibank-cyberattack-highlights-unenforced-mfa/
來源:安全內(nèi)參
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧