Vụ rò rỉ dữ liệu Medibank đã xảy ra như thế nào và cách phòng tránh?

1. Giới thiệu#

Vào tháng 10 năm 2022, Medibank, một trong những công ty bảo hiểm y tế tư nhân lớn nhất của Úc, đã bị rò rỉ dữ liệu làm lộ thông tin y tế và cá nhân nhạy cảm của 9,7 triệu khách hàng. Sự cố này cho thấy hậu quả nghiêm trọng của việc không triển khai các biện pháp an ninh mạng cơ bản. Việc hiểu rõ vụ rò rỉ đã xảy ra như thế nào và các lỗ hổng bảo mật bị khai thác là rất cần thiết để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Đó là lý do tại sao bài đăng trên blog này sẽ đề cập đến những câu hỏi chính sau:

• Những lỗ hổng nào đã tạo điều kiện cho vụ rò rỉ Medibank?
• Những biện pháp đối phó nào có thể ngăn chặn vụ rò rỉ Medibank?

2. Vụ rò rỉ dữ liệu Medibank đã xảy ra như thế nào?#

Vụ rò rỉ dữ liệu Medibank không phải là kết quả của các phương pháp hack tinh vi. Thay vào đó, nó xảy ra do một loạt các sai lầm bảo mật có thể ngăn ngừa được. Những sơ suất này đã cho phép tội phạm mạng xâm nhập vào mạng của Medibank, đánh cắp lượng lớn thông tin nhạy cảm và sau đó đòi tiền chuộc.

2.1 Thông tin đăng nhập bị đánh cắp và điểm truy cập không an toàn#

Cuộc tấn công bắt đầu khi một nhà cung cấp dịch vụ CNTT bên thứ ba, được Medibank ký hợp đồng, lưu trữ thông tin đăng nhập cấp quản trị viên của Medibank trên một thiết bị cá nhân. Thiết bị này đã bị nhiễm phần mềm độc hại, cho phép những kẻ tấn công lấy được thông tin đăng nhập của người dùng. Vì hệ thống truy cập từ xa của Medibank không yêu cầu xác thực đa yếu tố tại thời điểm đó, nên những kẻ tấn công có thể đăng nhập vào mạng của công ty bằng cách sử dụng thông tin đăng nhập bị đánh cắp này, tỏ ra giống như những người dùng được ủy quyền.

2.2 Đánh cắp dữ liệu và phản ứng chậm trễ của Medibank#

Khi đã vào bên trong hệ thống của Medibank, bọn tội phạm đã cài đặt một tệp lệnh để tìm kiếm và trích xuất thông tin nhạy cảm của khách hàng. Chúng nén dữ liệu này và chuyển ra ngoài mạng thông qua một backdoor được tạo sẵn. Mặc dù các công cụ bảo mật của công ty đã gắn cờ các hoạt động đáng ngờ, nhưng những cảnh báo này không được theo dõi với mức độ khẩn cấp cần thiết. Đến lúc nhóm bảo mật của Medibank hành động và vô hiệu hóa quyền truy cập của những kẻ tấn công, 200 GB dữ liệu cá nhân đã bị đánh cắp.

2.3 Yêu cầu tiền chuộc và rò rỉ dữ liệu#

Thông tin bị đánh cắp bao gồm:

• Tên
• Ngày sinh
• Chi tiết hộ chiếu
• Số Medicare

Khi sở hữu dữ liệu này, những kẻ tấn công đã yêu cầu khoản tiền chuộc 10 triệu USD để chúng không phát tán ra công chúng. Medibank đã từ chối trả tiền vì tin rằng làm như vậy sẽ khuyến khích các cuộc tấn công tiếp theo và do đó bọn tội phạm đã bắt đầu rò rỉ một phần dữ liệu trên dark web để đáp trả, gây thêm áp lực lên công ty.

3. Các lỗ hổng chính trong bảo mật của Medibank#

Vụ rò rỉ Medibank cho thấy một số điểm yếu nghiêm trọng trong hàng rào phòng thủ an ninh mạng của tổ chức. Do không triển khai các biện pháp kiểm soát bảo mật thiết yếu này, Medibank đã tạo cơ hội cho những kẻ tấn công khai thác quyền truy cập đặc quyền, điều hướng các hệ thống nội bộ và trích xuất dữ liệu nhạy cảm. Dưới đây là các lỗ hổng chính góp phần gây ra sự cố:

3.1 Thiếu bảo vệ thông tin đăng nhập#

Việc Medibank không bảo vệ các thông tin đăng nhập đặc quyền đã cho phép những kẻ tấn công bỏ qua các biện pháp bảo mật ban đầu vì không có 2FA/MFA để sau đó sử dụng thông tin đăng nhập vào bên trong hệ thống.

3.2 Không có Nguyên tắc đặc quyền tối thiểu (POLP)#

Tài khoản của nhân viên mà tin tặc mua trên dark web có nhiều quyền truy cập hơn mức cần thiết để thực hiện các công việc hàng ngày, làm tăng nguy cơ xâm phạm tài khoản đặc quyền cao. Điều này cho phép những kẻ tấn công truy cập trực tiếp vào dữ liệu quan trọng.

3.3 Phân đoạn mạng không đủ#

Việc thiếu phân đoạn mạng khiến những kẻ tấn công dễ dàng xác định vị trí và trích xuất dữ liệu nhạy cảm hơn. Nếu không có các vùng bị cô lập hoặc các biện pháp kiểm soát truy cập mạnh mẽ, những kẻ tấn công có thể truy cập cơ sở dữ liệu mà không gặp rào cản đáng kể.

3.4 Chậm trễ trong việc phát hiện các backdoor#

Mặc dù cuối cùng đã phát hiện ra vụ rò rỉ, nhưng phản ứng chậm trễ của Medibank đã tạo điều kiện cho những kẻ tấn công tải xuống một lượng lớn dữ liệu trước khi cuộc tấn công mạng bị ngăn chặn.

4. Vụ rò rỉ Medibank có thể được ngăn chặn như thế nào?#

Dưới đây là bốn chiến lược có thể giảm thiểu hoặc thậm chí ngăn chặn vụ rò rỉ dữ liệu Medibank:

4.1 Triển khai đào tạo nhận thức về mối đe dọa mạng#

Hướng dẫn nhân viên cách nhận biết các nỗ lực lừa đảo (phishing) và đánh cắp thông tin đăng nhập có thể giảm nguy cơ xâm phạm ban đầu vì lừa đảo vẫn là một trong những phương pháp phổ biến nhất để đánh cắp thông tin đăng nhập.

4.2 Thực thi Nguyên tắc đặc quyền tối thiểu (POLP)#

POLP giới hạn quyền truy cập vào các hệ thống và dữ liệu nhạy cảm chỉ cho những người cần nó. Bằng cách thực thi POLP, Medibank có thể đã làm chậm trễ những kẻ tấn công hoặc ngăn chúng truy cập hoàn toàn vào các cơ sở dữ liệu quan trọng.

4.3 Sử dụng Xác thực đa yếu tố (MFA)#

MFA bổ sung thêm một lớp bảo mật bằng cách yêu cầu các bước xác minh bổ sung ngoài mật khẩu. Theo Microsoft, MFA có thể ngăn chặn tới 98% nỗ lực xâm phạm tài khoản. MFA thích ứng, điều chỉnh các yêu cầu dựa trên các yếu tố rủi ro, cung cấp sự bảo vệ thậm chí còn mạnh mẽ hơn.

4.4 Triển khai phân đoạn mạng mạnh mẽ#

Phân đoạn mạng cô lập dữ liệu nhạy cảm vào các vùng bảo mật, khiến những kẻ tấn công khó xác định vị trí và truy cập hơn. Để tăng cường bảo mật, các jump server có thể kiểm soát các yêu cầu kết nối đến những vùng này, giảm rủi ro truy cập trái phép.

5. Kết luận#

Vụ rò rỉ dữ liệu Medibank nêu bật nhu cầu cấp thiết về các biện pháp an ninh mạng mạnh mẽ trong bối cảnh kỹ thuật số ngày nay. Bằng cách triển khai các phương thức bảo mật cơ bản như bảo vệ thông tin đăng nhập, MFA, POLP và phân đoạn mạng, các tổ chức có thể giảm đáng kể rủi ro gặp phải một cuộc tấn công tương tự.

Sự cố này đóng vai trò như một lời nhắc nhở rõ ràng rằng việc bảo vệ dữ liệu khách hàng nhạy cảm không chỉ là nghĩa vụ pháp lý mà còn là khía cạnh cốt lõi của việc duy trì lòng tin trong thời đại kỹ thuật số.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Các câu hỏi thường gặp#

Những kẻ tấn công ban đầu đã xâm nhập vào mạng Medibank như thế nào?#

Những kẻ tấn công đã lấy được thông tin đăng nhập quản trị viên của Medibank từ thiết bị cá nhân của một nhà cung cấp dịch vụ CNTT bên thứ ba bị nhiễm phần mềm độc hại. Vì hệ thống truy cập từ xa của Medibank thiếu xác thực đa yếu tố tại thời điểm đó, thông tin đăng nhập bị đánh cắp đã đủ để đăng nhập với tư cách là một người dùng được ủy quyền.

Điều gì khiến vụ rò rỉ Medibank trở nên vô cùng tai hại sau khi những kẻ tấn công vào được bên trong mạng?#

Hai điểm yếu chính đã làm tăng thêm thiệt hại: tài khoản bị xâm phạm có các đặc quyền quá mức vượt qua yêu cầu của các công việc hàng ngày, vi phạm Nguyên tắc đặc quyền tối thiểu và phân đoạn mạng không đủ khiến những kẻ tấn công có thể di chuyển tự do để xác định vị trí và trích xuất các cơ sở dữ liệu nhạy cảm mà không có rào cản đáng kể.

Những biện pháp kiểm soát bảo mật nào sẽ ngăn chặn vụ rò rỉ dữ liệu Medibank hiệu quả nhất?#

Việc thực thi MFA trên tất cả các điểm truy cập từ xa là biện pháp kiểm soát bị thiếu hụt nghiêm trọng nhất, vì dữ liệu của Microsoft cho thấy MFA chặn tới 98% nỗ lực xâm phạm tài khoản. Việc kết hợp MFA với Nguyên tắc đặc quyền tối thiểu và phân đoạn mạng mạnh mẽ sẽ có thể ngăn chặn hoặc hạn chế đáng kể cuộc tấn công ngay cả khi thông tin đăng nhập bị đánh cắp.

Tại sao các tổ chức nên tránh trả tiền chuộc sau một vụ rò rỉ dữ liệu giống như Medibank?#

Medibank đã từ chối trả 10 triệu USD tiền chuộc vì công ty tin rằng việc trả tiền sẽ khuyến khích các cuộc tấn công tiếp theo nhằm vào họ và các tổ chức khác. Mặc dù sự từ chối này dẫn đến rò rỉ dữ liệu trên dark web, lập trường này vẫn phù hợp với hướng dẫn bảo mật chung rằng các khoản thanh toán tiền chuộc không đảm bảo việc xóa dữ liệu và lại khuyến khích các cuộc tấn công lặp lại.