近日,澳大利亚信息专员办公室(OAIC)日前发布了一份措辞严厉的调查报告,详细说明了黑客如何凭借配置错误和未处理的警报突破Medibank公司的安全防线月,澳大利亚健康保险提供商Medibank披露其遭遇了一次网络攻击,导致公司运营中断。一周后,公司确认攻击者窃取了其所有客户的个人数据和大量健康索赔数据,约970万人的数据被泄露。OAIC通过调查确定,重大运营失误导致威胁行为者突破了Medibank的网络。
根据报告,一切始于Medibank的一名外包运维人员。他在工作电脑上使用个人浏览器配置文件,并将其Medibank凭据保存在浏览器中。这些凭据随后同步到他的家用电脑,而这台电脑感染了信息窃取恶意软件,威胁行为者得以窃取其浏览器中保存的所有密码(口令)。2022年8月7日,威胁行为者利用这些凭据,获得了对Medibank标准账户和高级访问(管理员)账户的访问权限。从2022年8月12日开始,威胁行为者使用这些凭据首先突破了公司的Microsoft Exchange服务器,然后登录了Medibank的Palo Alto Networks Global Protect虚拟专用网络(VPN)工具,获得了公司网络的内部访问权限。2022年8月25日至10月13日期间,威胁行为者利用对内部网络的访问权限,从公司的MARS数据库和MPLFiler系统窃取了520GB数据。这些数据包括客户的姓名、出生日期、地址、电话号码、电子邮件地址、Medicare号码、护照号码、健康相关信息和索赔数据(例如患者姓名、医疗服务提供商姓名、主要/次要诊断和程序代码以及治疗日期)。OAIC报告称,在相关期间,管理员账户可以访问Medibank的大部分(即便不是全部)系统,包括网络驱动器、管理控制台和远程桌面访问跳转服务器(用于访问Medibank某些目录和数据库)。报告还指出,更糟糕的是,公司的EDR软件曾在2022年8月24日和25日发出关于可疑行为的警报,但未得到适当的处理。直到10月中旬,Medibank请来威胁情报公司调查Microsoft Exchange ProxyNotShell事件,这才发现数据已经因网络攻击被窃取。
报告强调,Medibank未能保护用户数据,因为其未对VPN凭据强制实施多因素认证,导致任何拥有凭据的人都能登录设备。报告中写道:“威胁行为者仅使用Medibank凭据就能通过认证,登录Medibank的Global Protect VPN。这是因为,在相关期间,访问Medibank的Global Protect VPN不需要两个或两个以上的身份证明或多因素认证。相反,Medibank的Global Protect VPN被配置为,只需要设备证书或用户名和密码(例如Medibank凭据)即可登录。”
信息窃取恶意软件和数据泄露已经导致数十亿凭据被盗,形成了一个难以防御的大规模攻击面。所有组织都将不得不假设其凭据已经以某种方式泄露。因此,需要使用多因素认证增加一道额外防线,加大威胁行为者突破网络的难度。对这于VPN网关尤其重要,因为它们被设计为在互联网公开暴露,以允许员工远程接入公司内部网络,这也提供了一个常被勒索软件团伙和其他威胁行为者针对的攻击面。
飞天诚信ePass3000GM智能密码钥匙支持SM2(基于椭圆曲线的非对称密码算法)、SM3、SM4等国密算法,获得商用密码产品认证证书(密码模块安全二级),可与Windows、Linux以及统信UOS、麒麟系统等多款安全可靠操作系统实现适配,全面满足信创PKI应用需求。
人工智能已成我国经济发展新引擎 多家A股公司“人工智能+”创新成果亮相WAIC 2024
特斯拉进入江苏省政府用车采购目录,工作人员:特斯拉不属于进口,属于国产的
已有42家主力机构披露2023-12-31报告期持股数据,持仓量总计644.39万股,占流通A股2.62%
近期的平均成本为10.02元。该股资金方面呈流出状态,投资者请谨慎投资。该公司运营状况尚可,暂时未获得多数机构的显著认同,后续可继续关注。
涨停揭秘:飞天诚信14:19分强势涨停,涨停原因类别:互联网金融+数字货币+车联网+物联网芯片+华为概念
投资者关系关于同花顺软件下载法律声明运营许可联系我们友情链接招聘英才用户体验计划
不良信息举报电话举报邮箱:增值电信业务经营许可证:B2-20090237