Araştırmaya göre Medibank hack’i, personelin kimlik bilgilerinin çalınmasıyla başladı | Siber Suç

Medibank saldırısı, şirket soruşturmasına yakın bir kaynağa göre, kuruluş içinde üst düzey erişime sahip bir personelin kimlik bilgilerinin çalınmasıyla başladı ve daha sonra Rusça bir siber suç forumunda satıldı.

Avustralyalı sağlık sigortası, 13 Ekim’de müşterilerine, bir “siber olay” sonucunda iki sistemi devre dışı bıraktığını söyledi. Daha sonra, Medibank sistemlerinden çalındığı iddia edilen 200 GB’den fazla müşteri verisinin bilgisayar korsanları tarafından ele geçirildiğini bildirdi.

Bilgisayar korsanının “pazarlık”ına dahil edilen 100 kayıttan oluşan bir örnekte adlar, adresler, doğum tarihleri, Medicare numaraları, telefon numaraları ve teşhis, prosedürler ve tıbbi hizmetlerin yeri hakkında bilgiler dahil tıbbi talep verileri yer aldı.

Medibank, son iki haftadır saldırının nasıl gerçekleştiğini araştırıyor. Avustralya federal polisi ve Avustralya Sinyal Müdürlüğü de soruşturma yürütüyor.

Saldırının, Medibank sistemlerine üst düzey erişime sahip bir personel üyesinin kimlik bilgilerinin bir bilgisayar korsanı tarafından çalınması ve daha sonra kimlik bilgileri komisyoncusu olarak görev yapan bir Rus siber suç forumunda satışa sunulmasıyla başladığına inanılıyor. halka açık konuşma yetkisi olmayan kaynak.

Daha sonra kimlik bilgilerinin satın alındığı ve başka bir bilgisayar korsanı veya bilgisayar korsanları grubunun Medibank’ın ağına sızdığı ve biri keşfedilmesi durumunda yedeklilik için de dahil olmak üzere iki arka kapı kurduğu bildirildi.

Medibank içinde, saldırganın daha sonra sadece müşteri verilerini değil, Medibank’ın ağını ve dahili uygulamalarını da kapsamlı bir şekilde incelediği ve müşteri bilgilerini Medibank’ın müşteri veri tabanından çekmek ve saldırganların erişebileceği bir zip dosyasına koymak için özel bir araç yerleştirdiği yönünde bir görüş oluşuyor. sonra şirketin ağından çıkın.

Kaynak, Medibank’ın bu noktada şüpheli faaliyet tespit ettiğini ve iki arka kapıyı bulup kapattığını söyledi. Avustralya Sinyaller Müdürlüğü ayrıca Medibank’ı yakında asla gerçekleşmeyen bir fidye yazılımı saldırısının kurbanı olabileceği konusunda bilgilendirdi.

Avustralya Stratejik Politika Enstitüsü’nün Uluslararası Siber Politika Merkezi direktörü Fergus Hanson, “Aslında, üst düzey kimlik bilgileri çalındı ​​veya tespit edildi ve daha sonra satıldı ve birileri onu satın aldı” dedi.

“Bu bilgisayar korsanları, verileri kodlamak için temelde bazı yazılımları bu şekilde yazabilirler.”

Kimlik bilgilerinin ne zaman alındığı ve saldırının ilk ne zaman gerçekleştiği henüz açıklanmadı. Şirket, Medibank’ın 3,9 milyon müşterisinden kaçının verilerini tehlikeye atmış olabileceğini henüz açıklamadı.

Çok faktörlü kimlik doğrulamanın güvenliğinin ihlal edilip edilmediği veya atlanıp atlanmadığı belli değil.

Hanson Pazartesi günü “Bu önlenebilir bir saldırı” dedi. “Daha iyisini yapabilirler miydi? Evet, belki daha iyisini yapabilirlerdi. Her kuruluş bununla başa çıkmak için uğraşıyor mu? Kesinlikle hayır. [But Medibank] gerçekten ayrıcalıklı bir konumdalar, insanların sağlık verileriyle ilgileniyorlar, bu yüzden bence orada yanıtlanması gereken gerçek bir vaka var.”

Medibank saldırısı, Optus veri ihlalinin 10 milyona kadar müşteriyi ifşa etmesinin yanı sıra Woolworths ve Vinomofo’daki ihlallerin ardından geçen ay Avustralya’daki birkaç yüksek profilli veri ihlalinden biri.

Arnavutluk hükümeti, insanların verilerini yeterince koruyamayan şirketlerin önümüzdeki hafta meclise sunulacak yeni yasalara göre 50 milyon dolar veya daha fazla para cezasına çarptırılabileceğini duyurdu.