来源 :飞天诚信2024-07-04
近日,澳大利亚信息专员办公室(OAIC)日前发布了一份措辞严厉的调查报告,详细说明了黑客如何凭借配置错误和未处理的警报突破Medibank公司的安全防线,并窃取超过900万人的数据。2022年10月,澳大利亚健康保险提供商Medibank披露其遭遇了一次网络攻击,导致公司运营中断。一周后,公司确认攻击者窃取了其所有客户的个人数据和大量健康索赔数据,约970万人的数据被泄露。OAIC通过调查确定,重大运营失误导致威胁行为者突破了Medibank的网络。
根据报告,一切始于Medibank的一名外包运维人员。他在工作电脑上使用个人浏览器配置文件,并将其Medibank凭据保存在浏览器中。这些凭据随后同步到他的家用电脑,而这台电脑感染了信息窃取恶意软件,威胁行为者得以窃取其浏览器中保存的所有密码(口令)。2022年8月7日,威胁行为者利用这些凭据,获得了对Medibank标准账户和高级访问(管理员)账户的访问权限。从2022年8月12日开始,威胁行为者使用这些凭据首先突破了公司的Microsoft Exchange服务器,然后登录了Medibank的Palo Alto Networks Global Protect虚拟专用网络(VPN)工具,获得了公司网络的内部访问权限。2022年8月25日至10月13日期间,威胁行为者利用对内部网络的访问权限,从公司的MARS数据库和MPLFiler系统窃取了520GB数据。这些数据包括客户的姓名、出生日期、地址、电话号码、电子邮件地址、Medicare号码、护照号码、健康相关信息和索赔数据(例如患者姓名、医疗服务提供商姓名、主要/次要诊断和程序代码以及治疗日期)。OAIC报告称,在相关期间,管理员账户可以访问Medibank的大部分(即便不是全部)系统,包括网络驱动器、管理控制台和远程桌面访问跳转服务器(用于访问Medibank某些目录和数据库)。报告还指出,更糟糕的是,公司的EDR软件曾在2022年8月24日和25日发出关于可疑行为的警报,但未得到适当的处理。直到10月中旬,Medibank请来威胁情报公司调查Microsoft Exchange ProxyNotShell事件,这才发现数据已经因网络攻击被窃取。
报告强调,Medibank未能保护用户数据,因为其未对VPN凭据强制实施多因素认证,导致任何拥有凭据的人都能登录设备。报告中写道:“威胁行为者仅使用Medibank凭据就能通过认证,登录Medibank的Global Protect VPN。这是因为,在相关期间,访问Medibank的Global Protect VPN不需要两个或两个以上的身份证明或多因素认证。相反,Medibank的Global Protect VPN被配置为,只需要设备证书或用户名和密码(例如Medibank凭据)即可登录。”
信息窃取恶意软件和数据泄露已经导致数十亿凭据被盗,形成了一个难以防御的大规模攻击面。所有组织都将不得不假设其凭据已经以某种方式泄露。因此,需要使用多因素认证增加一道额外防线,加大威胁行为者突破网络的难度。对这于VPN网关尤其重要,因为它们被设计为在互联网公开暴露,以允许员工远程接入公司内部网络,这也提供了一个常被勒索软件团伙和其他威胁行为者针对的攻击面。
飞天诚信ePass2003 USBKey支持RSA 2048/3072/4096、AES、ECC、SHA-256等多种密码算法,获得FIPS 140-2 Level3认证,支持MS CSP、MS Minidriver、PKCS#11等多种标准接口,可在Windows、MacOS、Linux等多款操作系统(32位/64位)使用,全面满足PKI应用需求。
飞天诚信ePass3000GM智能密码钥匙支持SM2(基于椭圆曲线的非对称密码算法)、SM3、SM4等国密算法,获得商用密码产品认证证书(密码模块安全二级),可与Windows、Linux以及统信UOS、麒麟系统等多款安全可靠操作系统实现适配,全面满足信创PKI应用需求。