Взлом Medibank начался с кражи корпоративных данных, показывает расследование 🛡️💻

Взлом системы австралийского медицинского страховщика Medibank начался с кражи учетных данных сотрудника с высоким уровнем доступа, которые затем были проданы на форуме киберпреступников на русском языке. Об этом сообщает источник, близкий к расследованию компании.

13 октября Medibank уведомила своих клиентов о «киберинциденте» и отключении двух систем. Позднее стало известно, что хакеры связались с компанией, сообщив о краже более 200 ГБ данных клиентов, которые, по их словам, были украдены из систем Medibank. В качестве примера «переговоров» с хакерами была предоставлена выборка из 100 записей, включающих имена, адреса, даты рождения, номера Medicare, телефоны и медицинские данные, такие как диагнозы, процедуры и информация о местоположении медицинских услуг.

Компания Medibank в течение последних двух недель пыталась выяснить, как произошло вторжение. Австралийская федеральная полиция и Австралийское управление сигналов (ASD) также проводят расследование. Согласно одной из версий, атаку инициировал хакер, который похитил учетные данные человека с высоким уровнем доступа в системе Medibank. Эти данные затем были выставлены на продажу на форуме киберпреступников, где они стали предметом сделки с другим хакером или группой хакеров, которые проникли в сеть Medibank и создали два «задних входа» для скрытого доступа, включая один для резервирования, на случай, если первый будет обнаружен.

В компании считают, что атакующий тщательно исследовал внутреннюю сеть и приложения Medibank, а не только клиентские данные, и использовал специализированное ПО для извлечения информации о клиентах из базы данных. Все данные были упакованы в zip-архив, который затем хакеры планировали вывести из сети компании. Именно в этот момент Medibank обнаружила подозрительную активность и закрыла два «задних входа». Австралийское управление сигналов также предупредило компанию о возможной угрозе атаки с использованием программ-вымогателей, которая так и не состоялась.

Фергус Хэнсон, директор Международного центра киберполитики Австралийского института стратегической политики, отметил: «Основное событие — это кража высокоуровневых учетных данных, которые затем были проданы. Вот как хакеры смогли разработать программное обеспечение для извлечения данных.»

На данный момент не раскрыто, когда именно были украдены учетные данные и когда произошло вторжение. Также неизвестно, сколько из 3,9 миллиона клиентов Medibank могли пострадать от утечки данных, и было ли нарушено использование многофакторной аутентификации.

Фергус Хэнсон добавил, что такой инцидент можно было бы предотвратить. «Могли ли они сделать что-то лучше? Да, возможно. Но каждая организация не готова бороться с такими угрозами. Однако Medibank находится в очень привилегированном положении, ведь она управляет данными о здоровье людей, так что этот вопрос стоит разобрать всерьез.»

Этот инцидент стал частью серии крупных утечек данных в Австралии в последние недели. После взлома данных компании Optus, в результате которого были раскрыты данные до 10 миллионов клиентов, также произошли утечки в компаниях Woolworths и Vinomofo.

Правительство Австралии объявило, что компании, которые не обеспечат должную защиту данных пользователей, могут быть оштрафованы на сумму до 50 миллионов долларов и более по новому законодательству, которое будет представлено в парламенте на следующей неделе.