亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

澳大利亞信息專(zhuān)員辦公室（OAIC）日前發(fā)布了一份措辭嚴(yán)厲的調(diào)查報(bào)告，詳細(xì)說(shuō)明了黑客如何憑借配置錯(cuò)誤和未處理的警報(bào)突破Medibank公司的安全防線，并竊取超過(guò)900萬(wàn)人的數(shù)據(jù)。

2022年10月，澳大利亞健康保險(xiǎn)提供商Medibank披露其遭遇了一次網(wǎng)絡(luò)攻擊，導(dǎo)致公司運(yùn)營(yíng)中斷。一周后，公司確認(rèn)攻擊者竊取了其所有客戶(hù)的個(gè)人數(shù)據(jù)和大量健康索賠數(shù)據(jù)，970萬(wàn)人的數(shù)據(jù)被泄露。

此次攻擊所涉數(shù)據(jù)后來(lái)被一個(gè)名為BlogXX的勒索軟件團(tuán)伙泄露，據(jù)信該團(tuán)伙是已被關(guān)閉的REvil勒索軟件團(tuán)伙的分支機(jī)構(gòu)。此次攻擊最終被追溯到一名俄羅斯人Aleksandr Gennadievich Ermakov，他已被澳大利亞、英國(guó)和美國(guó)制裁。

澳大利亞官方調(diào)查結(jié)果

根據(jù)OAIC發(fā)布的報(bào)告，該機(jī)構(gòu)通過(guò)調(diào)查確定，重大運(yùn)營(yíng)失誤導(dǎo)致黑客突破了Medibank的網(wǎng)絡(luò)。

OAIC新聞稿稱(chēng)：“澳大利亞信息專(zhuān)員指控，從2021年3月至2022年10月，Medibank未能采取合理措施保護(hù)客戶(hù)個(gè)人信息免遭濫用、未經(jīng)授權(quán)的訪問(wèn)或披露，違反了1988年《隱私法》，嚴(yán)重侵犯了970萬(wàn)澳大利亞人的隱私。”

根據(jù)報(bào)告，一切始于一名Medibank的承包商（IT服務(wù)臺(tái)操作員），他在工作電腦上使用個(gè)人瀏覽器配置文件，并將其Medibank憑據(jù)保存在瀏覽器中。這些憑據(jù)隨后同步到他的家用電腦，而這臺(tái)電腦感染了信息竊取惡意軟件。威脅行為者得以竊取其瀏覽器中保存的所有密碼。2022年8月7日，威脅行為者利用這些憑據(jù)，獲得了對(duì)Medibank標(biāo)準(zhǔn)賬戶(hù)和高級(jí)訪問(wèn)（管理員）賬戶(hù)的訪問(wèn)權(quán)限。

OAIC報(bào)告稱(chēng)：“在相關(guān)期間，管理員賬戶(hù)可以訪問(wèn)Medibank的大部分（即便不是全部）系統(tǒng)，包括網(wǎng)絡(luò)驅(qū)動(dòng)器、管理控制臺(tái)和遠(yuǎn)程桌面訪問(wèn)跳轉(zhuǎn)服務(wù)器（用于訪問(wèn)Medibank某些目錄和數(shù)據(jù)庫(kù)）。”

尚不清楚Medibank漏洞攻擊者是從在線暗網(wǎng)網(wǎng)絡(luò)犯罪市場(chǎng)購(gòu)買(mǎi)了被盜憑據(jù)，還是進(jìn)行了信息竊取惡意軟件攻擊。無(wú)論如何，威脅行為者從2022年8月12日開(kāi)始使用這些憑據(jù)，首先突破了公司的Microsoft Exchange服務(wù)器，然后登錄Medibank的Palo Alto Networks Global Protect虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）工具，獲得了公司網(wǎng)絡(luò)的內(nèi)部訪問(wèn)權(quán)限。

報(bào)告指出，Medibank未能保護(hù)用戶(hù)數(shù)據(jù)，因?yàn)槠湮磳?duì)VPN憑據(jù)強(qiáng)制執(zhí)行多因素認(rèn)證，導(dǎo)致任何擁有憑據(jù)的人都能登錄設(shè)備。報(bào)告繼續(xù)寫(xiě)道：“威脅行為者僅使用Medibank憑據(jù)就能通過(guò)認(rèn)證，登錄Medibank的Global Protect VPN。這是因?yàn)椋谙嚓P(guān)期間，訪問(wèn)Medibank的Global Protect VPN不需要兩個(gè)或兩個(gè)以上的身份證明或多因素認(rèn)證。相反，Medibank的Global Protect VPN被配置為，只需要設(shè)備證書(shū)或用戶(hù)名和密碼（例如Medibank憑據(jù)）即可登錄。”

利用對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限，威脅行為者開(kāi)始在系統(tǒng)中擴(kuò)散。2022年8月25日至10月13日期間，他們從公司的MARS數(shù)據(jù)庫(kù)和MPLFiler系統(tǒng)竊取了520GB數(shù)據(jù)。這些數(shù)據(jù)包括客戶(hù)的姓名、出生日期、地址、電話(huà)號(hào)碼、電子郵件地址、Medicare號(hào)碼、護(hù)照號(hào)碼、健康相關(guān)信息和索賠數(shù)據(jù)（例如患者姓名、醫(yī)療服務(wù)提供商姓名、主要/次要診斷和程序代碼以及治療日期）。

更糟糕的是，報(bào)告指出，公司的EDR軟件于2022年8月24日和25日發(fā)出關(guān)于可疑行為的警報(bào)，但未得到適當(dāng)?shù)奶幚怼Ｖ钡?0月中旬，Medibank才請(qǐng)來(lái)威脅情報(bào)公司調(diào)查Microsoft Exchange ProxyNotShell事件，這才發(fā)現(xiàn)數(shù)據(jù)已經(jīng)因網(wǎng)絡(luò)攻擊被竊取。

通過(guò)多因素認(rèn)證保護(hù)憑據(jù)

信息竊取惡意軟件和數(shù)據(jù)泄露已經(jīng)導(dǎo)致數(shù)十億憑據(jù)被盜，形成了一個(gè)難以防御的大規(guī)模攻擊面，我們必須采取額外的防御措施（如多因素認(rèn)證）加以應(yīng)對(duì)。所有組織都必須假設(shè)其公司憑據(jù)已經(jīng)以某種方式暴露。因此，他們需要使用多因素認(rèn)證增加一道額外防線，加大威脅行為者突破網(wǎng)絡(luò)的難度。

這對(duì)于VPN網(wǎng)關(guān)尤其重要，因?yàn)樗鼈冊(cè)O(shè)計(jì)為在互聯(lián)網(wǎng)公開(kāi)暴露，以允許遠(yuǎn)程員工登錄公司網(wǎng)絡(luò)。這也提供了一個(gè)常被勒索軟件團(tuán)伙和其他威脅行為者針對(duì)的攻擊面，因此必須用額外的防御措施（如多因素認(rèn)證）加以保護(hù)。

參考資料：https://www.bleepingcomputer.com/news/security/scathing-report-on-medibank-cyberattack-highlights-unenforced-mfa/

來(lái)源：安全內(nèi)參