В делах об утечке данных Optus и Medibank говорится о сбоях в системе кибербезопасности

2022 год стал годом крупных нарушений кибербезопасности в Австралии.

И поставщик телекоммуникационных услуг Optus, и частная медицинская страховая компания Medibank столкнулись с масштабными утечками данных, затронувшими десятки миллионов австралийцев, что в последующие годы привело к усилению внимания со стороны регулирующих органов и бизнеса к кибербезопасности.

Две утечки данных также привели к судебным искам, а недавние судебные иски подробно описали предполагаемых технических участников инцидентов. Для Optus ошибка кодирования в открытом, неактивном API предоставила доступ, в то время как скомпрометированные учетные данные в учетной записи администратора открыли дверь к данным клиентов Medibank.

Что стало причиной утечки данных Optus?

Австралийское управление по коммуникациям и СМИ заявило, что ошибка кодирования в элементах управления доступом к неактивному API с выходом в Интернет позволила киберпреступнику взломать киберзащиту Optus и раскрыть персональные данные 9,5 миллионов бывших и нынешних клиентов в 2022 году.

Как ошибка кодирования привела к нарушению безопасности

В исковом заявлении, приложенном к постановлениям суда, опубликованным в июне 2024 года, ACMA подробно описала, как элементы управления доступом к неиспользуемому API, изначально разработанные для предоставления клиентам доступа к информации на веб-сайте Optus через поддомен, оказались неэффективными из-за ошибки кодирования в 2018 году.

ACMA утверждает, что, хотя Optus обнаружила и исправила ошибку кодирования в августе 2021 года в отношении своего основного домена веб-сайта, телекоммуникационная компания не обнаружила и не исправила ту же ошибку, влияющую на поддомен. Это означало, что когда API был сделан доступным для Интернета в 2020 году, Optus остался уязвимым для кибератак.

СМОТРЕТЬ: Директоров по информационной безопасности в Австралии призывают более внимательно изучить риски утечки данных

ACMA утверждает, что Optus упустила несколько возможностей выявить ошибку за четыре года, в том числе при выпуске в производственную среду после проверки и тестирования в 2018 году, при выходе в интернет в 2020 году и при обнаружении ошибки кодирования на основном домене.

«Целевому домену было разрешено оставаться бездействующим и уязвимым для атак в течение двух лет, и он не был выведен из эксплуатации, несмотря на отсутствие какой-либо необходимости в нем», — говорится в судебных документах ACMA.

Киберпреступник воспользовался ошибкой кодирования в 2022 году

Ошибка кодирования позволила кибер-злоумышленнику обойти контроль доступа к API и отправить запросы к целевым API в течение трех дней в сентябре 2022 года, как утверждает ACMA, что успешно вернуло персональные данные клиентов.

ACMA далее заявляет, что кибератака «не была слишком сложной и не требовала продвинутых навыков или специальных или внутренних знаний процессов или систем Optus», а была «осуществлена ​​посредством простого процесса проб и ошибок».

Optus предполагает, что хакер активно избегал обнаружения

После подачи ACMA дела в федеральный суд Optus подтвердила ранее неизвестную уязвимость из-за исторической ошибки кодирования. В заявлении для iTnews Optus заявила, что продолжит сотрудничать с ACMA, хотя и будет защищать иск, если это необходимо для исправления записи.

Временно исполняющий обязанности генерального директора Optus Майкл Вентер сообщил изданию, что уязвимость была использована «мотивированным и целеустремленным преступником», который обошел различные средства аутентификации и обнаружения, в том числе имитируя обычные действия клиентов, чередуя десятки тысяч IP-адресов.

В результате взлома в 2022 году киберпреступник получил доступ к персональным данным более 9,5 млн австралийцев. В их число входили полные имена клиентов, даты рождения, номера телефонов, адреса проживания, данные водительских прав, а также номера паспортов и карт Medicare, некоторые из которых впоследствии были опубликованы в даркнете.

Регулятор конфиденциальности Австралии утверждает, что Medibank серьезно уязвим к киберугрозам

По словам комиссара по информации Австралии, неспособность Medibank внедрить такие элементы управления безопасностью, как MFA для доступа к виртуальной частной сети, а также непринятие мер в ответ на многочисленные оповещения от его системы обнаружения и реагирования на конечные точки, открыли путь к утечке данных.

AIC заявляет о серьезных сбоях в кибербезопасности Medibank

В судебных документах по делу, возбужденному против Medibank австралийским регулятором конфиденциальности, AIC утверждает, что учетные данные имени пользователя и пароля подрядчика Medibank позволили преступникам взломать Medibank. Учетные данные были позже синхронизированы с его персональным компьютером и извлечены с помощью вредоносного ПО.

AIC утверждает, что подрядчик по работе с IT-оператором службы поддержки сохранил учетные данные Medibank в своем личном профиле интернет-браузера на своем рабочем компьютере. Когда он позже вошел в свой профиль интернет-браузера на своем персональном компьютере, учетные данные были синхронизированы, а затем украдены с помощью вредоносного ПО.

SEE: Сможет ли Австралия когда-нибудь выбраться из нехватки специалистов по кибербезопасности?

Учетные данные включали стандартную учетную запись доступа и учетную запись администратора. Учетная запись администратора давала доступ к «большинству, если не ко всем, системам Medibank», включая сетевые драйверы, консоли управления и удаленный доступ к рабочим столам серверов jump box, используемых для доступа к определенным каталогам и базам данных Medibank.

После входа на сервер Microsoft Exchange Server Medibank для проверки учетных данных учетной записи администратора AIC утверждает, что злоумышленник смог пройти аутентификацию и войти в Global Protect VPN Medibank. Поскольку MFA не был включен, требовался только сертификат устройства или имя пользователя и пароль.

С 25 августа по 13 октября 2022 года злоумышленник получил доступ к «многочисленным ИТ-системам», некоторые из которых предоставили информацию о том, как структурированы базы данных Medibank. Преступник продолжил извлекать 520 гигабайт данных из базы данных MARS Medibank и систем MPLFiler.

AIC утверждает, что система обнаружения и реагирования на конечные точки Medibank генерировала различные оповещения в отношении активности злоумышленника на разных этапах проникновения, но эти оповещения не были рассмотрены и переданы на более высокий уровень группой кибербезопасности до 11 октября.

Medibank улучшает кибербезопасность, будет защищаться в суде AIC

Полученные в ходе взлома данные позднее были опубликованы в даркнете, включая имена, даты рождения, пол, номера Medicare, адреса проживания, адреса электронной почты, номера телефонов, сведения о визах для иностранных работников и посетителей-клиентов.

SEE: Ведущий руководитель службы информационной безопасности хочет, чтобы австралийские компании избегали «сюрпризов» от атак

По данным AIC, опубликованные конфиденциальные персональные данные также включают данные о состоянии здоровья клиентов, в том числе имена пациентов, имена поставщиков медицинских услуг, местонахождение поставщика и контактные данные, номера диагнозов, номера процедур и даты лечения.

Deloitte провела внешнюю проверку нарушения, а Medibank заявил, что сотрудничал с расследованиями OAIC после инцидента. Медицинская страховая компания заявила, что намерена защищать иск, возбужденный AIC.