मेडीबैंक डेटा ब्रीच कैसे हुआ और इससे कैसे बचें?

यह पेज अपने-आप अनुवादित किया गया है। मूल अंग्रेज़ी संस्करण पढ़ें यहाँ.

ऑस्ट्रेलिया के लिए Passkeys. passkey कार्यक्रमों के लिए व्यावहारिक मार्गदर्शन, रोलआउट पैटर्न और KPIs।

मुख्य तथ्य

मेडीबैंक ब्रीच ने अक्टूबर 2022 में 9.7 मिलियन ग्राहकों के व्यक्तिगत और चिकित्सा डेटा को उजागर किया, जो कि परिष्कृत हैकिंग के बजाय रोके जा सकने वाली सुरक्षा विफलताओं के परिणामस्वरूप हुआ।
हमलावरों ने एक थर्ड-पार्टी IT प्रदाता के मैलवेयर से संक्रमित व्यक्तिगत उपकरण से चोरी किए गए क्रेडेंशियल्स का उपयोग करके प्रवेश प्राप्त किया, जिससे रिमोट एक्सेस सिस्टम पर MFA की अनुपस्थिति का फायदा उठाया गया।
देरी से हुई घटना प्रतिक्रिया ने अपराधियों को मेडीबैंक की सुरक्षा टीम द्वारा एक्सेस बंद करने से पहले 200 GB डेटा निकालने की अनुमति दी, बावजूद इसके कि सुरक्षा उपकरणों से पहले ही अलर्ट मिल चुके थे।
हमलावरों ने फिरौती के रूप में 10 मिलियन अमेरिकी डॉलर की मांग की। मेडीबैंक ने इनकार कर दिया, जिससे अपराधियों ने डार्क वेब पर नाम, पासपोर्ट विवरण और मेडिकेयर नंबर सहित चोरी किए गए डेटा को लीक कर दिया।
मल्टी-फैक्टर ऑथेंटिकेशन (MFA) प्रवेश पर ही ब्रीच को रोक सकता था। लेख में उद्धृत माइक्रोसॉफ्ट डेटा से पता चलता है कि MFA 98% तक खाते से समझौता होने के प्रयासों को रोकता है।

1. परिचय#

अक्टूबर 2022 में, ऑस्ट्रेलिया के सबसे बड़े निजी स्वास्थ्य बीमाकर्ताओं में से एक, मेडीबैंक को एक डेटा ब्रीच का सामना करना पड़ा जिसने 9.7 मिलियन ग्राहकों की संवेदनशील व्यक्तिगत और चिकित्सा जानकारी को उजागर कर दिया। इस घटना ने बुनियादी साइबर सुरक्षा उपायों को लागू करने में विफल रहने के गंभीर परिणामों को दिखाया। भविष्य में इसी तरह के हमलों को रोकने के लिए यह समझना आवश्यक है कि ब्रीच कैसे हुआ और किन सुरक्षा कमियों का फायदा उठाया गया।

यही कारण है कि यह ब्लॉग पोस्ट इन मुख्य सवालों को कवर करेगा:

वे कौन सी कमजोरियां थीं जिन्होंने मेडीबैंक ब्रीच को सक्षम किया?
कौन से उपाय मेडीबैंक ब्रीच को रोक सकते थे?

हाल के लेख

2. मेडीबैंक डेटा ब्रीच कैसे हुआ?#

मेडीबैंक डेटा ब्रीच परिष्कृत हैकिंग विधियों का परिणाम नहीं था। इसके बजाय, यह रोकी जा सकने वाली सुरक्षा गलतियों की एक श्रृंखला के कारण हुआ। इन चूकों ने साइबर अपराधियों को मेडीबैंक के नेटवर्क में प्रवेश करने, बड़ी मात्रा में संवेदनशील जानकारी चुराने और फिर फिरौती मांगने की अनुमति दी।

2.1 चोरी किए गए क्रेडेंशियल्स और असुरक्षित एंट्री पॉइंट#

हमला तब शुरू हुआ जब मेडीबैंक द्वारा अनुबंधित एक थर्ड-पार्टी IT प्रदाता ने मेडीबैंक के एडमिनिस्ट्रेटर-स्तर के लॉग-इन विवरण को एक व्यक्तिगत उपकरण पर संग्रहीत किया। यह उपकरण मैलवेयर से संक्रमित था, जिसने हमलावरों को उपयोगकर्ता क्रेडेंशियल्स प्राप्त करने की अनुमति दी। क्योंकि उस समय मेडीबैंक के रिमोट एक्सेस सिस्टम को मल्टी-फैक्टर ऑथेंटिकेशन की आवश्यकता नहीं थी, हमलावर इन चोरी किए गए क्रेडेंशियल्स का उपयोग करके कंपनी के नेटवर्क में लॉग इन कर सकते थे, जो कि अधिकृत उपयोगकर्ताओं के रूप में दिखाई दे रहे थे।

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

2.2 डेटा चोरी और मेडीबैंक की देरी से प्रतिक्रिया#

मेडीबैंक के सिस्टम के अंदर आने के बाद, अपराधियों ने संवेदनशील ग्राहक जानकारी खोजने और निकालने के लिए एक स्क्रिप्ट स्थापित की। उन्होंने इस डेटा को संकुचित किया और इसे एक बिल्ट-इन बैकडोर के माध्यम से नेटवर्क से बाहर स्थानांतरित कर दिया। हालांकि कंपनी के सुरक्षा उपकरणों ने संदिग्ध गतिविधियों को फ़्लैग किया था, लेकिन इन अलर्ट पर आवश्यक तत्परता के साथ कार्रवाई नहीं की गई। जब तक मेडीबैंक की सुरक्षा टीम ने अंततः कार्रवाई की और हमलावरों के एक्सेस को बंद कर दिया, तब तक 200 GB व्यक्तिगत डेटा चोरी हो चुका था।

2.3 फिरौती की मांग और डेटा लीक#

चोरी की गई जानकारी में शामिल थे:

नाम
जन्म तिथि
पासपोर्ट विवरण
मेडिकेयर नंबर

इस डेटा के अधिकार के साथ, हमलावरों ने इसे जनता को जारी करने से रोकने के लिए 10 मिलियन अमेरिकी डॉलर की फिरौती की मांग की। मेडीबैंक ने भुगतान करने से इनकार कर दिया, यह मानते हुए कि ऐसा करने से आगे के हमलों को बढ़ावा मिलेगा और इसलिए अपराधियों ने प्रतिक्रिया में डार्क वेब पर डेटा के कुछ हिस्सों को लीक करना शुरू कर दिया, जिससे कंपनी पर अतिरिक्त दबाव पड़ा।

Latest news के लिए हमारे Passkeys Substack को subscribe करें.

Subscribe करें

3. मेडीबैंक की सुरक्षा में प्रमुख कमजोरियां#

मेडीबैंक ब्रीच ने संगठन के साइबर सुरक्षा बचाव में कई गंभीर कमजोरियां दिखाईं। इन आवश्यक सुरक्षा नियंत्रणों को लागू करने में विफल रहकर, मेडीबैंक ने हमलावरों के लिए विशेषाधिकार प्राप्त एक्सेस का फायदा उठाने, आंतरिक सिस्टम को नेविगेट करने और संवेदनशील डेटा निकालने के अवसर पैदा किए। यहां वे प्रमुख कमजोरियां दी गई हैं जिन्होंने इस घटना में योगदान दिया:

3.1 क्रेडेंशियल सुरक्षा का अभाव#

मेडीबैंक की विशेषाधिकार प्राप्त क्रेडेंशियल्स की सुरक्षा करने में विफलता ने हमलावरों को प्रारंभिक सुरक्षा उपायों को बायपास करने की अनुमति दी क्योंकि सिस्टम के अंदर लॉग इन करने के लिए कोई 2FA/MFA नहीं था।

3.2 न्यूनतम विशेषाधिकार के सिद्धांत (POLP) की अनुपस्थिति#

डार्क वेब पर हैकर्स द्वारा खरीदे गए कर्मचारी खाते में दैनिक कार्य करने के लिए आवश्यक से अधिक एक्सेस थी, जिससे उच्च-विशेषाधिकार प्राप्त खाते से समझौता होने का जोखिम बढ़ गया। इसने हमलावरों को सीधे महत्वपूर्ण डेटा तक पहुंचने की अनुमति दी।

3.3 अपर्याप्त नेटवर्क सेगमेंटेशन#

नेटवर्क सेगमेंटेशन की कमी ने हमलावरों के लिए संवेदनशील डेटा का पता लगाना और उसे निकालना आसान बना दिया। पृथक ज़ोन या मजबूत एक्सेस कंट्रोल के बिना, हमलावर बिना किसी महत्वपूर्ण बाधा के डेटाबेस तक पहुंच सकते थे।

3.4 बैकडोर का पता लगाने में देरी#

अंततः ब्रीच का पता लगाने के बावजूद, मेडीबैंक की देरी से प्रतिक्रिया ने हमलावरों को साइबर हमले को बंद करने से पहले ही काफी मात्रा में डेटा डाउनलोड करने में सक्षम बनाया।

4. मेडीबैंक ब्रीच को कैसे रोका जा सकता था?#

यहां चार रणनीतियां दी गई हैं जो मेडीबैंक डेटा ब्रीच को कम कर सकती थीं या रोक सकती थीं:

4.1 साइबर खतरे के प्रति जागरूकता प्रशिक्षण लागू करना#

कर्मचारियों को फ़िशिंग प्रयासों और क्रेडेंशियल चोरी को पहचानने का तरीका सिखाने से प्रारंभिक समझौते के जोखिम को कम किया जा सकता है क्योंकि फ़िशिंग अभी भी क्रेडेंशियल चोरी के सबसे आम तरीकों में से एक है।

4.2 न्यूनतम विशेषाधिकार का सिद्धांत (POLP) लागू करना#

POLP संवेदनशील सिस्टम और डेटा तक एक्सेस को केवल उन लोगों तक सीमित करता है जिन्हें इसकी आवश्यकता होती है। POLP लागू करके, मेडीबैंक हमलावरों को धीमा कर सकता था या उन्हें महत्वपूर्ण डेटाबेस तक पूरी तरह से पहुंचने से रोक सकता था।

4.3 मल्टी-फैक्टर ऑथेंटिकेशन (MFA) का उपयोग करना#

MFA केवल एक पासवर्ड से परे अतिरिक्त सत्यापन चरणों की आवश्यकता के द्वारा सुरक्षा की एक अतिरिक्त परत जोड़ता है। माइक्रोसॉफ्ट के अनुसार, MFA 98% तक खाते से समझौता होने के प्रयासों को रोक सकता है। एडेप्टिव MFA, जो जोखिम कारकों के आधार पर आवश्यकताओं को समायोजित करता है, और भी मजबूत सुरक्षा प्रदान करता है।

4.4 मजबूत नेटवर्क सेगमेंटेशन लागू करना#

नेटवर्क सेगमेंटेशन संवेदनशील डेटा को सुरक्षित ज़ोन में अलग करता है, जिससे हमलावरों के लिए इसका पता लगाना और एक्सेस करना अधिक चुनौतीपूर्ण हो जाता है। अतिरिक्त सुरक्षा के लिए, जंप सर्वर इन ज़ोन के कनेक्शन अनुरोधों को नियंत्रित कर सकते हैं, जिससे अनधिकृत एक्सेस का जोखिम कम हो जाता है।

5. निष्कर्ष#

मेडीबैंक डेटा ब्रीच आज के डिजिटल परिदृश्य में मजबूत साइबर सुरक्षा उपायों की महत्वपूर्ण आवश्यकता को उजागर करता है। क्रेडेंशियल सुरक्षा, MFA, POLP और नेटवर्क सेगमेंटेशन जैसी बुनियादी सुरक्षा प्रथाओं को लागू करके, संगठन इसी तरह के हमले का शिकार होने के अपने जोखिम को काफी कम कर सकते हैं।

यह घटना एक स्पष्ट याद दिलाती है कि संवेदनशील ग्राहक डेटा की सुरक्षा करना केवल एक कानूनी दायित्व नहीं है, बल्कि डिजिटल युग में विश्वास बनाए रखने का एक मूलभूत पहलू है।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →

अक्सर पूछे जाने वाले प्रश्न#

हमलावरों ने शुरुआत में मेडीबैंक नेटवर्क में कैसे प्रवेश किया?#

हमलावरों ने एक थर्ड-पार्टी IT प्रदाता के व्यक्तिगत उपकरण से मेडीबैंक एडमिनिस्ट्रेटर क्रेडेंशियल्स प्राप्त किए जो मैलवेयर से संक्रमित था। क्योंकि उस समय मेडीबैंक के रिमोट एक्सेस सिस्टम में मल्टी-फैक्टर ऑथेंटिकेशन (MFA) की कमी थी, चोरी किए गए क्रेडेंशियल्स एक अधिकृत उपयोगकर्ता के रूप में लॉग इन करने के लिए पर्याप्त थे।

एक बार नेटवर्क के अंदर आने के बाद मेडीबैंक ब्रीच इतना नुकसानदायक क्यों हो गया?#

दो प्रमुख कमजोरियों ने नुकसान को बढ़ा दिया: समझौता किए गए खाते में दैनिक कार्यों की आवश्यकता से अधिक विशेषाधिकार थे, जो न्यूनतम विशेषाधिकार के सिद्धांत का उल्लंघन था, और अपर्याप्त नेटवर्क सेगमेंटेशन का मतलब था कि हमलावर बिना किसी महत्वपूर्ण बाधा के संवेदनशील डेटाबेस का पता लगाने और उसे निकालने के लिए स्वतंत्र रूप से आगे बढ़ सकते थे।

कौन से सुरक्षा नियंत्रण मेडीबैंक डेटा ब्रीच को सबसे प्रभावी ढंग से रोक सकते थे?#

सभी रिमोट एक्सेस पॉइंट पर MFA लागू करना सबसे महत्वपूर्ण गायब नियंत्रण था, क्योंकि माइक्रोसॉफ्ट के डेटा से पता चलता है कि MFA 98% तक खाते से समझौता होने के प्रयासों को रोकता है। न्यूनतम विशेषाधिकार के सिद्धांत और मजबूत नेटवर्क सेगमेंटेशन के साथ MFA को जोड़ने से, क्रेडेंशियल्स चोरी होने पर भी हमले को रोका या काफी हद तक सीमित किया जा सकता था।

संगठनों को मेडीबैंक जैसे डेटा ब्रीच के बाद फिरौती देने से क्यों बचना चाहिए?#

मेडीबैंक ने 10 मिलियन अमेरिकी डॉलर की फिरौती देने से विशेष रूप से इसलिए इनकार कर दिया क्योंकि कंपनी का मानना था कि भुगतान करने से उनके और अन्य लोगों के खिलाफ और हमलों को बढ़ावा मिलेगा। डार्क वेब पर डेटा लीक होने के बावजूद, यह रुख व्यापक सुरक्षा मार्गदर्शन के अनुरूप है कि फिरौती का भुगतान डेटा हटाने की गारंटी नहीं देता है और बार-बार हमलों को प्रोत्साहित करता है।