Come è avvenuta la violazione dei dati di Medibank e come evitarla?

1. Introduzione#

Nell'ottobre 2022, Medibank, una delle più grandi assicurazioni sanitarie private in Australia, ha subito una violazione dei dati che ha esposto le informazioni personali e mediche sensibili di 9,7 milioni di clienti. Questo incidente ha mostrato le gravi conseguenze del mancato rispetto delle misure di base di sicurezza informatica. Comprendere come si è verificata la violazione e le lacune di sicurezza sfruttate è essenziale per prevenire attacchi simili in futuro.

Ecco perché questo post del blog tratterà queste domande principali:

• Quali vulnerabilità hanno consentito la violazione di Medibank?
• Quali contromisure avrebbero potuto prevenire la violazione di Medibank?

2. Come si è verificata la violazione dei dati di Medibank?#

La violazione dei dati di Medibank non è stata il risultato di sofisticati metodi di hacking. Invece, si è verificata a causa di una serie di errori di sicurezza prevenibili. Queste disattenzioni hanno permesso ai criminali informatici di entrare nella rete di Medibank, rubare grandi quantità di informazioni sensibili e quindi chiedere un riscatto.

2.1 Credenziali rubate e punti di accesso non protetti#

L'attacco è iniziato quando un fornitore IT di terze parti, ingaggiato da Medibank, ha salvato le credenziali di accesso a livello di amministratore di Medibank su un dispositivo personale. Questo dispositivo è stato infettato da un malware, che ha permesso agli aggressori di ottenere le credenziali utente. Poiché il sistema di accesso remoto di Medibank all'epoca non richiedeva un'autenticazione a più fattori, gli aggressori potevano accedere alla rete dell'azienda utilizzando queste credenziali rubate, apparendo come utenti autorizzati.

2.2 Furto di dati e risposta ritardata di Medibank#

Una volta all'interno del sistema di Medibank, i criminali hanno installato uno script per cercare ed estrarre le informazioni sensibili dei clienti. Hanno compresso questi dati e li hanno trasferiti fuori dalla rete attraverso una backdoor integrata. Sebbene gli strumenti di sicurezza dell'azienda avessero segnalato attività sospette, a questi allarmi non è stato dato seguito con l'urgenza richiesta. Quando il team di sicurezza di Medibank è finalmente intervenuto chiudendo l'accesso degli aggressori, 200 GB di dati personali erano già stati rubati.

2.3 Richieste di riscatto e fuga di dati#

Le informazioni rubate includevano:

• Nomi
• Date di nascita
• Dettagli del passaporto
• Numeri Medicare

Entrati in possesso di questi dati, gli aggressori hanno chiesto un riscatto di 10 milioni di dollari USA per impedire la loro pubblicazione. Medibank si è rifiutata di pagare, ritenendo che ciò avrebbe incoraggiato ulteriori attacchi; di conseguenza, i criminali hanno iniziato a diffondere parti dei dati sul dark web come ritorsione, mettendo l'azienda ulteriormente sotto pressione.

3. Principali vulnerabilità nella sicurezza di Medibank#

La violazione di Medibank ha mostrato diverse debolezze critiche nelle difese di sicurezza informatica dell'organizzazione. Non avendo implementato questi controlli di sicurezza essenziali, Medibank ha creato opportunità per gli aggressori di sfruttare gli accessi privilegiati, navigare nei sistemi interni ed esfiltrare dati sensibili. Ecco le principali vulnerabilità che hanno contribuito all'incidente:

3.1 Mancanza di protezione delle credenziali#

L'incapacità di Medibank di salvaguardare le credenziali privilegiate ha permesso agli aggressori di aggirare le misure di sicurezza iniziali, poiché non era presente l'MFA/2FA per utilizzare l'accesso all'interno del sistema.

3.2 Assenza del principio del privilegio minimo (POLP)#

L'account dipendente acquistato dagli hacker sul dark web aveva più accesso del necessario per svolgere le attività quotidiane, aumentando il rischio di compromissione degli account con privilegi elevati. Ciò ha permesso agli aggressori di accedere direttamente a dati critici.

3.3 Insufficiente segmentazione della rete#

La mancanza di una segmentazione della rete ha reso più facile per gli aggressori individuare ed esfiltrare dati sensibili. Senza zone isolate o solidi controlli degli accessi, gli aggressori potevano accedere al database senza incontrare ostacoli significativi.

3.4 Rilevamento ritardato delle backdoor#

Nonostante la violazione sia stata infine rilevata, la risposta ritardata di Medibank ha permesso agli aggressori di scaricare già una quantità significativa di dati prima di fermare l'attacco informatico.

4. Come si sarebbe potuta prevenire la violazione di Medibank?#

Ecco quattro strategie che avrebbero potuto mitigare o persino prevenire la violazione dei dati di Medibank:

4.1 Implementare una formazione sulla consapevolezza delle minacce informatiche#

Insegnare ai dipendenti a riconoscere i tentativi di phishing e il furto di credenziali può ridurre il rischio di compromissione iniziale, poiché il phishing rimane uno dei metodi più comuni per il furto di credenziali.

4.2 Applicare il principio del privilegio minimo (POLP)#

Il POLP limita l'accesso ai sistemi sensibili e ai dati solo a coloro che ne hanno bisogno. Applicando il POLP, Medibank avrebbe potuto rallentare gli aggressori o impedire loro del tutto di accedere a database critici.

4.3 Utilizzare l'autenticazione a più fattori (MFA)#

L'MFA aggiunge un ulteriore livello di sicurezza richiedendo passaggi di verifica aggiuntivi oltre a una semplice password. Secondo Microsoft, l'MFA può prevenire fino al 98% dei tentativi di compromissione degli account. L'MFA adattiva, che adegua i requisiti in base ai fattori di rischio, fornisce una protezione ancora più forte.

4.4 Implementare una solida segmentazione della rete#

La segmentazione della rete isola i dati sensibili in zone sicure, rendendo più difficile per gli aggressori localizzarli ed accedervi. Per maggiore sicurezza, i jump server possono controllare le richieste di connessione a queste zone, riducendo il rischio di accessi non autorizzati.

5. Conclusione#

La violazione dei dati di Medibank evidenzia la necessità critica di robuste misure di sicurezza informatica nel panorama digitale di oggi. Implementando pratiche di sicurezza di base come la protezione delle credenziali, l'MFA, il POLP e la segmentazione della rete, le organizzazioni possono ridurre significativamente il rischio di subire un attacco simile.

Questo incidente serve come severo promemoria del fatto che proteggere i dati sensibili dei clienti non è solo un obbligo legale, ma un aspetto fondamentale per mantenere la fiducia nell'era digitale.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande frequenti#

Come sono entrati inizialmente gli aggressori nella rete di Medibank?#

Gli aggressori hanno ottenuto le credenziali di amministratore di Medibank dal dispositivo personale di un fornitore IT di terze parti infettato da malware. Poiché il sistema di accesso remoto di Medibank all'epoca non disponeva dell'autenticazione a più fattori, le credenziali rubate erano sufficienti per accedere come utente autorizzato.

Cosa ha reso la violazione di Medibank così dannosa una volta che gli aggressori erano all'interno della rete?#

Due principali debolezze hanno amplificato i danni: l'account compromesso aveva privilegi eccessivi rispetto a quelli richiesti per le attività quotidiane, violando il principio del privilegio minimo, e l'insufficiente segmentazione della rete ha permesso agli aggressori di muoversi liberamente per individuare ed estrarre database sensibili senza barriere significative.

Quali controlli di sicurezza avrebbero prevenuto in modo più efficace la violazione dei dati di Medibank?#

L'applicazione dell'MFA su tutti i punti di accesso remoto era il controllo mancante più critico, poiché i dati Microsoft mostrano che l'MFA blocca fino al 98% dei tentativi di compromissione degli account. La combinazione dell'MFA con il principio del privilegio minimo e una robusta segmentazione della rete avrebbe fermato o limitato significativamente l'attacco anche in caso di furto delle credenziali.

Perché le organizzazioni dovrebbero evitare di pagare i riscatti dopo una violazione dei dati come quella di Medibank?#

Medibank si è rifiutata di pagare il riscatto di 10 milioni di dollari USA proprio perché riteneva che il pagamento avrebbe incoraggiato ulteriori attacchi contro di loro e contro altri. Nonostante il rifiuto abbia portato alla diffusione dei dati sul dark web, questa posizione è in linea con le linee guida di sicurezza più ampie, secondo cui il pagamento dei riscatti non garantisce la cancellazione dei dati e incentiva gli attacchi ripetuti.