Утечка данных Medibank: как это произошло и как избежать?

1. Введение#

В октябре 2022 года Medibank, одна из крупнейших частных компаний медицинского страхования Австралии, пострадала от утечки данных, в результате которой была раскрыта конфиденциальная личная и медицинская информация 9,7 миллиона клиентов. Этот инцидент продемонстрировал серьезные последствия неспособности внедрить базовые меры кибербезопасности. Понимание того, как произошла утечка и какие пробелы в безопасности были использованы, имеет важное значение для предотвращения подобных атак в будущем.

Именно поэтому в этой статье блога будут рассмотрены следующие основные вопросы:

• Какие уязвимости сделали возможной утечку Medibank?
• Какие контрмеры могли бы предотвратить утечку Medibank?

2. Как произошла утечка данных Medibank?#

Утечка данных Medibank не стала результатом изощренных хакерских методов. Напротив, она произошла из-за серии предотвратимых ошибок в системе безопасности. Эти упущения позволили киберпреступникам проникнуть в сеть Medibank, украсть большие объемы конфиденциальной информации, а затем потребовать выкуп.

2.1 Украденные учетные данные и незащищенные точки входа#

Атака началась, когда сторонний ИТ-поставщик, нанятый Medibank, сохранил данные для входа на уровне администратора Medibank на личном устройстве. Это устройство было заражено вредоносным ПО, которое позволило злоумышленникам получить учетные данные пользователя. Поскольку на тот момент в системе удаленного доступа Medibank не требовалась многофакторная аутентификация, злоумышленники могли войти в сеть компании, используя эти украденные учетные данные, выдавая себя за авторизованных пользователей.

2.2 Кража данных и запоздалое реагирование Medibank#

Проникнув в систему Medibank, преступники установили скрипт для поиска и извлечения конфиденциальной информации клиентов. Они сжали эти данные и вывели их из сети через встроенный бэкдор. Хотя инструменты безопасности компании помечали подозрительные действия, на эти оповещения не отреагировали с должной оперативностью. К тому времени, когда служба безопасности Medibank наконец приняла меры и закрыла доступ злоумышленникам, 200 ГБ личных данных уже были украдены.

2.3 Требования о выкупе и утечки данных#

Украденная информация включала:

• Имена
• Даты рождения
• Паспортные данные
• Номера Medicare

Имея на руках эти данные, злоумышленники потребовали выкуп в размере 10 млн долларов США, чтобы не допустить их публичного распространения. Medibank отказалась платить, полагая, что это спровоцирует дальнейшие атаки, и поэтому в ответ преступники начали публиковать части данных в даркнете, оказывая на компанию дополнительное давление.

3. Ключевые уязвимости в безопасности Medibank#

Утечка Medibank выявила ряд критических слабостей в системе киберзащиты организации. Не внедрив эти важнейшие средства контроля безопасности, Medibank создала для злоумышленников возможности по использованию привилегированного доступа, навигации по внутренним системам и извлечению конфиденциальных данных. Вот основные уязвимости, способствовавшие инциденту:

3.1 Отсутствие защиты учетных данных#

Неспособность Medibank защитить привилегированные учетные данные позволила злоумышленникам обойти первоначальные меры безопасности, так как не было 2FA/MFA для последующего использования входа внутри системы.

3.2 Отсутствие принципа наименьших привилегий (POLP)#

Учетная запись сотрудника, купленная хакерами в даркнете, имела больше доступа, чем необходимо для выполнения повседневных задач, что повысило риск компрометации учетной записи с высокими привилегиями. Это позволило злоумышленникам получить прямой доступ к критически важным данным.

3.3 Недостаточная сегментация сети#

Недостаточная сегментация сети упростила для злоумышленников поиск и извлечение конфиденциальных данных. Без изолированных зон или надежного контроля доступа атакующие могли получить доступ к базе данных, не встречая существенных препятствий.

3.4 Запоздалое обнаружение бэкдоров#

Несмотря на то, что утечка в конечном итоге была обнаружена, запоздалое реагирование Medibank позволило злоумышленникам скачать значительный объем данных до того, как кибератака была остановлена.

4. Как можно было предотвратить утечку Medibank?#

Вот четыре стратегии, которые могли бы смягчить или даже предотвратить утечку данных Medibank:

4.1 Внедрение обучения по повышению осведомленности о киберугрозах#

Обучение сотрудников тому, как распознавать попытки фишинга и кражи учетных данных, может снизить риск первоначальной компрометации, так как фишинг остается одним из наиболее распространенных методов кражи учетных данных.

4.2 Обеспечение соблюдения принципа наименьших привилегий (POLP)#

POLP ограничивает доступ к чувствительным системам и данным только теми лицами, которым это необходимо. Внедряя POLP, Medibank могла бы замедлить продвижение злоумышленников или вообще предотвратить их доступ к критически важным базам данных.

4.3 Использование многофакторной аутентификации (MFA)#

MFA добавляет дополнительный уровень безопасности, требуя дополнительных шагов проверки помимо пароля. По данным Microsoft, MFA может предотвратить до 98 % попыток компрометации учетных записей. Адаптивная MFA, которая регулирует требования на основе факторов риска, обеспечивает еще более надежную защиту.

4.4 Внедрение надежной сегментации сети#

Сегментация сети изолирует конфиденциальные данные в безопасных зонах, что делает их поиск и доступ к ним более сложными для злоумышленников. Для дополнительной безопасности jump-серверы могут контролировать запросы на подключение к этим зонам, снижая риск несанкционированного доступа.

5. Заключение#

Утечка данных Medibank подчеркивает острую необходимость в надежных мерах кибербезопасности в современных цифровых условиях. Внедряя базовые методы обеспечения безопасности, такие как защита учетных данных, MFA, POLP и сегментация сети, организации могут значительно снизить риск подобных атак.

Этот инцидент служит суровым напоминанием о том, что защита конфиденциальных данных клиентов — это не просто юридическое обязательство, а фундаментальный аспект поддержания доверия в эпоху цифровых технологий.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Как злоумышленники изначально проникли в сеть Medibank?#

Атакующие получили учетные данные администратора Medibank с личного устройства стороннего ИТ-поставщика, зараженного вредоносным ПО. Поскольку на тот момент в системе удаленного доступа Medibank не была настроена многофакторная аутентификация, украденных учетных данных оказалось достаточно для входа под видом авторизованного пользователя.

Что сделало утечку Medibank настолько разрушительной после проникновения злоумышленников в сеть?#

Две ключевые уязвимости усугубили ущерб: скомпрометированная учетная запись имела избыточные привилегии, выходящие за рамки повседневных задач, что нарушало принцип наименьших привилегий, а недостаточная сегментация сети позволила атакующим беспрепятственно перемещаться для поиска и извлечения конфиденциальных баз данных.

Какие средства контроля безопасности могли бы наиболее эффективно предотвратить утечку данных Medibank?#

Внедрение MFA на всех точках удаленного доступа было самым важным недостающим средством контроля, так как данные Microsoft показывают, что MFA блокирует до 98 % попыток компрометации учетных записей. Сочетание MFA с принципом наименьших привилегий и надежной сегментацией сети остановило бы или значительно ограничило атаку, даже если бы учетные данные были украдены.

Почему организациям следует избегать выплаты выкупа после утечки данных, подобной Medibank?#

Medibank отказалась выплатить выкуп в размере 10 миллионов долларов США именно потому, что компания считала, что выплата спровоцирует дальнейшие атаки на нее и других. Несмотря на то, что отказ привел к утечке данных в даркнет, эта позиция согласуется с общими рекомендациями по безопасности, согласно которым выплата выкупа не гарантирует удаление данных и стимулирует повторные атаки.