Medibank veri ihlali nasıl gerçekleşti ve nasıl önlenir?

Bu sayfa otomatik olarak çevrildi. Orijinal İngilizce sürümü buradan okuyun.

Avustralya için Passkeys. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.

Önemli bilgiler

Medibank ihlali, karmaşık bilgisayar korsanlığından ziyade önlenebilir güvenlik hataları sonucunda Ekim 2022'de 9,7 milyon müşterinin kişisel ve tıbbi verilerini ifşa etti.
Saldırganlar, uzaktan erişim sistemlerinde MFA bulunmamasından yararlanarak kötü amaçlı yazılım bulaşmış bir üçüncü taraf BT sağlayıcısının kişisel cihazından çalınan kimlik bilgilerini kullanarak giriş yaptı.
Gecikmiş olay müdahalesi, güvenlik araçlarından gelen önceki uyarılara rağmen, suçluların Medibank'ın güvenlik ekibi erişimi kapatmadan önce 200 GB veriyi dışarı sızdırmasına olanak tanıdı.
Saldırganlar 10 milyon ABD doları fidye talep etti. Medibank reddetti ve bu da suçluların çalınan verileri isimler, pasaport bilgileri ve Medicare numaraları dahil olmak üzere dark web'de sızdırmasına yol açtı.
Çok faktörlü kimlik doğrulama (MFA) girişte ihlali engelleyebilirdi. Makalede alıntılanan Microsoft verileri, MFA'nın hesap ele geçirme girişimlerinin %98'ine kadarını önlediğini gösteriyor.

1. Giriş#

Ekim 2022'de Avustralya'nın en büyük özel sağlık sigortacılarından biri olan Medibank, 9,7 milyon müşterinin hassas kişisel ve tıbbi bilgilerini ifşa eden bir veri ihlali yaşadı. Bu olay, temel siber güvenlik önlemlerinin uygulanmamasının ciddi sonuçlarını gösterdi. İhlalin nasıl gerçekleştiğini ve istismar edilen güvenlik boşluklarını anlamak, gelecekteki benzer saldırıları önlemek için çok önemlidir.

Bu nedenle bu blog yazısı şu temel soruları ele alacaktır:

Medibank ihlaline olanak tanıyan güvenlik açıkları nelerdi?
Hangi karşı önlemler Medibank ihlalini önleyebilirdi?

Son makaleler

2. Medibank Veri İhlali Nasıl Gerçekleşti?#

Medibank veri ihlali, karmaşık bilgisayar korsanlığı yöntemlerinin bir sonucu değildi. Bunun yerine, bir dizi önlenebilir güvenlik hatası nedeniyle meydana geldi. Bu ihmaller, siber suçluların Medibank'ın ağına girmesine, büyük miktarda hassas bilgi çalmasına ve ardından fidye talep etmesine olanak tanıdı.

2.1 Çalınan Kimlik Bilgileri ve Güvenli Olmayan Giriş Noktaları#

Saldırı, Medibank tarafından sözleşmeli bir üçüncü taraf BT sağlayıcısının, Medibank'ın yönetici düzeyindeki oturum açma ayrıntılarını kişisel bir cihazda saklamasıyla başladı. Bu cihaza kötü amaçlı yazılım bulaşmıştı ve bu da saldırganların kullanıcı kimlik bilgilerini elde etmesine olanak tanıdı. O dönemde Medibank'ın uzaktan erişim sistemi çok faktörlü kimlik doğrulama gerektirmediğinden, saldırganlar bu çalınan kimlik bilgilerini kullanarak şirketin ağına yetkili kullanıcılar gibi görünerek giriş yapabildi.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

2.2 Veri Hırsızlığı ve Medibank'ın Gecikmiş Müdahalesi#

Suçlular Medibank'ın sistemine girdikten sonra, hassas müşteri bilgilerini aramak ve çıkarmak için bir komut dosyası kurdular. Bu verileri sıkıştırdılar ve yerleşik bir arka kapı aracılığıyla ağın dışına aktardılar. Şirketin güvenlik araçları şüpheli etkinlikleri işaretlese de, bu uyarılar gerektiği aciliyetle takip edilmedi. Medibank'ın güvenlik ekibi nihayet harekete geçip saldırganların erişimini kapattığında, 200 GB kişisel veri çoktan çalınmıştı.

2.3 Fidye Talepleri ve Veri Sızıntıları#

Çalınan bilgiler şunları içeriyordu:

İsimler
Doğum tarihleri
Pasaport detayları
Medicare numaraları

Bu verileri ele geçiren saldırganlar, bilgileri kamuoyuna açıklamaktan vazgeçmek için 10 milyon ABD doları tutarında bir fidye talep etti. Medibank, bunu yapmanın daha fazla saldırıyı teşvik edeceğine inanarak ödemeyi reddetti ve bu nedenle suçlular buna yanıt olarak verilerin bazı kısımlarını dark web'de sızdırmaya başlayarak şirket üzerinde ek baskı yarattı.

Son haberler için Passkeys Substack'e abone olun.

Abone ol

3. Medibank'ın Güvenliğindeki Temel Zayıflıklar#

Medibank ihlali, kuruluşun siber güvenlik savunmasındaki birkaç kritik zayıflığı gösterdi. Medibank, bu temel güvenlik kontrollerini uygulamayarak saldırganların ayrıcalıklı erişimi istismar etmeleri, dahili sistemlerde gezinmeleri ve hassas verileri dışarı sızdırmaları için fırsatlar yarattı. İşte olaya katkıda bulunan temel güvenlik açıkları:

3.1 Kimlik Bilgisi Korumasının Eksikliği#

Medibank'ın ayrıcalıklı kimlik bilgilerini koruyamaması, saldırganların daha sonra sistem içinde oturum açmak için yerinde herhangi bir 2FA/MFA olmadığı için ilk güvenlik önlemlerini atlamasına olanak tanıdı.

3.2 En Az Ayrıcalık Prensibi'nin (POLP) Yokluğu#

Bilgisayar korsanları tarafından dark web'de satın alınan çalışan hesabı, günlük görevleri yerine getirmek için gerekenden daha fazla erişime sahipti ve bu da yüksek ayrıcalıklı hesabın ele geçirilmesi riskini artırdı. Bu, saldırganların kritik verilere doğrudan erişmesine olanak tanıdı.

3.3 Yetersiz Ağ Segmentasyonu#

Ağ segmentasyonunun eksikliği, saldırganların hassas verileri bulmasını ve dışarı sızdırmasını kolaylaştırdı. İzole bölgeler veya sağlam erişim kontrolleri olmadan, saldırganlar önemli engellerle karşılaşmadan veritabanına erişebildi.

3.4 Arka Kapıların Gecikmeli Tespiti#

İhlali sonunda tespit etmesine rağmen, Medibank'ın gecikmiş müdahalesi, saldırganların siber saldırıyı kapatmadan önce önemli miktarda veriyi çoktan indirmesine olanak tanıdı.

4. Medibank İhlali Nasıl Önlenebilirdi?#

İşte Medibank veri ihlalini hafifletebilecek veya hatta önleyebilecek dört strateji:

4.1 Siber Tehdit Farkındalığı Eğitimi Uygulayın#

Çalışanlara kimlik avı girişimlerini ve kimlik bilgisi hırsızlığını nasıl tanıyacaklarını öğretmek, kimlik avı kimlik bilgisi hırsızlığı için en yaygın yöntemlerden biri olmaya devam ettiğinden ilk ele geçirme riskini azaltabilir.

4.2 En Az Ayrıcalık Prensibi'ni (POLP) Zorunlu Kılın#

POLP, hassas sistemlere ve verilere erişimi yalnızca buna ihtiyacı olanlarla sınırlar. POLP'yi zorunlu kılarak Medibank, saldırganları yavaşlatabilir veya kritik veritabanlarına tamamen erişmelerini engelleyebilirdi.

4.3 Çok Faktörlü Kimlik Doğrulama (MFA) Kullanın#

MFA, yalnızca bir parolanın ötesinde ek doğrulama adımları gerektirerek ekstra bir güvenlik katmanı ekler. Microsoft'a göre MFA, hesap ele geçirme girişimlerinin %98'ine kadarını önleyebilir. Gereksinimleri risk faktörlerine göre ayarlayan uyarlanabilir MFA (Adaptive MFA), daha da güçlü koruma sağlar.

4.4 Sağlam Ağ Segmentasyonu Uygulayın#

Ağ segmentasyonu, hassas verileri güvenli bölgelere izole ederek saldırganların bulmasını ve erişmesini zorlaştırır. Ekstra güvenlik için, sıçrama sunucuları (jump servers) bu bölgelere yönelik bağlantı isteklerini kontrol ederek yetkisiz erişim riskini azaltabilir.

5. Sonuç#

Medibank veri ihlali, günümüzün dijital ortamında sağlam siber güvenlik önlemlerine olan kritik ihtiyacı vurgulamaktadır. Kimlik bilgisi koruması, MFA, POLP ve ağ segmentasyonu gibi temel güvenlik uygulamalarını hayata geçirerek kuruluşlar, benzer bir saldırıya uğrama riskini önemli ölçüde azaltabilir.

Bu olay, hassas müşteri verilerini korumanın yalnızca yasal bir zorunluluk değil, aynı zamanda dijital çağda güveni sürdürmenin temel bir yönü olduğuna dair çarpıcı bir hatırlatma görevi görmektedir.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

Saldırganlar Medibank ağına ilk olarak nasıl sızdı?#

Saldırganlar, kötü amaçlı yazılım bulaşmış bir üçüncü taraf BT sağlayıcısının kişisel cihazından Medibank yönetici kimlik bilgilerini elde etti. O dönemde Medibank'ın uzaktan erişim sisteminde çok faktörlü kimlik doğrulama bulunmadığından, çalınan kimlik bilgileri yetkili bir kullanıcı olarak oturum açmak için yeterliydi.

Saldırganlar ağa girdikten sonra Medibank ihlalini bu kadar yıkıcı kılan neydi?#

İki temel zayıflık hasarı büyüttü: ele geçirilen hesap, En Az Ayrıcalık Prensibi'ni ihlal edecek şekilde günlük görevlerin gerektirdiğinden çok daha fazla yetkiye sahipti ve yetersiz ağ segmentasyonu, saldırganların önemli engellerle karşılaşmadan hassas veritabanlarını bulmak ve çıkarmak için serbestçe hareket edebileceği anlamına geliyordu.

Hangi güvenlik kontrolleri Medibank veri ihlalini en etkili şekilde önleyebilirdi?#

Microsoft verileri MFA'nın hesap ele geçirme girişimlerinin %98'ine kadarını engellediğini gösterdiğinden, tüm uzaktan erişim noktalarında MFA'yı zorunlu kılmak en kritik eksik kontroldü. MFA'yı En Az Ayrıcalık Prensibi ve sağlam bir ağ segmentasyonu ile birleştirmek, kimlik bilgileri çalınmış olsa bile saldırıyı durdurabilir veya önemli ölçüde sınırlayabilirdi.

Kuruluşlar neden Medibank gibi bir veri ihlalinden sonra fidye ödemekten kaçınmalıdır?#

Medibank, ödemenin kendilerine ve diğerlerine yönelik daha fazla saldırıyı teşvik edeceğine inandığı için 10 milyon ABD doları tutarındaki fidyeyi ödemeyi reddetti. Bu reddin dark web'de veri sızıntılarına yol açmasına rağmen, bu tutum fidye ödemelerinin verilerin silinmesini garanti etmediği ve tekrarlayan saldırıları teşvik ettiği yönündeki daha geniş güvenlik yönergeleriyle uyumludur.