Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Итоги расследования утечки данных страхового гиганта Medibank
История резонансной утечки данных австралийской страховой компании Medibank получила продолжение. Регулятор сообщил о результатах расследования утечки данных.
Управление Комиссара по информации Австралии (OAIC) опубликовало отчет об инциденте ИБ, раскритиковав уровень безопасности компании. Инцидент, который изначально казался только кибератакой, произошел из-за халатности сотрудника.
Два года назад из-за кибератаки Medibank были украдены персональные данные всех ее клиентов — 9,7 млн человек. Скомпрометированные данные, в том числе, содержали информацию о страховых случаях и заболеваниях клиентов. Данный инцидент ИБ также привел к остановке торговли акциями на бирже и волне исков от пострадавших.
По сообщению комиссара, серьезные нарушения безопасности позволили хакерам взломать сеть страховой компании. Medibank не приняла преждевременных мер по защите персональных данных своих клиентов от несанкционированного доступа.
Выяснилось, что работник подрядчика, оператор службы технической поддержки, использовал на рабочем компьютере личный профиль браузера, в котором сохранил свои учетные данные Medibank. Затем данные браузера cинхронизировались с домашним компьютером, который впоследствии был заражен вредоносным ПО. Таким образом, хакеры смогли украсть аутентификационные данные, включая расширенные права доступа. Скомпрометированная учетная запись имела доступ почти ко всем системам Medibank, к сетевым дискам, консоли управления и доступ к удаленному рабочему столу.
Осталось неизвестным, были ли учетные данные приобретены в Дарквебе или получены непосредственно атаковавшими хакерами.
В отчете о расследовании инцидента ИБ говорится, что Medibank не смогла защитить данные пользователей, поскольку не внедрила многофакторную аутентификацию для учетных данных. Хакер смог пройти аутентификацию и войти в Global Protect VPN Medibank, используя только учетные данные Medibank, поскольку для доступа к Global Protect VPN Medibank не требовалась многофакторная аутентификация.
Что еще усугубило ситуацию, расследование показало, что система безопасности EDR (Endpoint Detection and Response) компании выдала предупреждения о подозрительном поведении 24 и 25 августа, которые были проигнорированы сотрудниками.
Лишь через полтора месяца, когда Medibank привлекла компанию по анализу угроз для расследования инцидента, обнаружилось, что данные были ранее украдены в результате кибератаки.
Данный случай стал одной из причин увеличения штрафов за крупные утечки информации с 2,2 млн до 50 млн австралийских долларов.