缺乏 MFA 实施可能导致 Medibank 数据泄露

两周前，澳大利亚隐私监管机构对 Medibank提起诉讼，指控其在 2022 年数据泄露事件中未能保护好其公民的个人信息。两周后，信息专员办公室本周公开了一份对导致该事件的安全漏洞的全面分析。

2022 年 10 月，澳大利亚著名健康保险提供商 Medibank 遭受了毁灭性的网络攻击，970 万现有和以前客户的个人数据遭到泄露。

根据 澳大利亚信息专员办公室 (OAIC) 的报告，此次攻击可能是由于缺乏基本的网络安全措施造成的，例如要求员工使用多因素身份验证登录其 VPN。

Medibank 数据泄露事件的来龙去脉
对 Medibank 的攻击始于第三方承包商的一名 IT 服务台操作员在工作电脑上使用其个人浏览器配置文件，并无意中将其 Medibank 凭证同步到家用电脑。这台家用设备感染了信息窃取恶意软件，这让黑客得以获取这些凭证，包括那些具有较高访问权限的凭证。

攻击者首先于 2022 年 8 月 12 日使用这些凭据入侵了 Medibank 的 Microsoft Exchange 服务器，然后登录了 Medibank 的 Palo Alto Networks Global Protect VPN。顺便说一句，VPN 不需要多因素身份验证 (MFA)，这使得攻击者更容易获得访问权限。

直到 10 月中旬，Medibank 才引入一家威胁情报公司调查 Microsoft Exchange ProxyNotShell 事件，当时他们发现数据之前曾在一次网络攻击中被窃取。

“在相关期间，管理员账户可以访问 Medibank 的大部分（如果不是全部）系统，包括网络驱动器、管理控制台和跳转盒服务器的远程桌面访问（用于访问某些 Medibank 目录和数据库）。” ——OAIC 报告。

安全故障和错过警报
缺乏多因素身份验证 (MFA)
Medibank 泄密事件中一个关键失误是这家健康保险公司未能实施 MFA 以进行 VPN 访问。OAIC 报告称，在相关期间，VPN 的配置仅允许使用设备证书或用户名和密码进行访问。它不需要 MFA 提供的额外安全层。这一疏忽大大降低了未经授权访问的门槛。

运营和警报管理失败
尽管在 8 月 24 日和 25 日，他们的终端检测和响应 (EDR) 软件收到了多起有关可疑活动的安全警报，但这些警报并未得到适当的分类或升级。这种延迟使得攻击者能够在很长一段时间内不被发现地继续他们的行动，最终导致该公司的 MARS 数据库和 MPLFiler 系统中约 520 GB 的敏感数据被泄露。

数据泄露及其后果
被盗数据包括高度敏感的信息，例如客户姓名、生日、地址、电话号码、电子邮件地址、医保号、护照号和大量健康相关数据。此类信息的泄露将对受影响的个人造成严重影响，包括身份盗窃以及医疗数据在各种欺诈和骗局中被滥用。

勒索软件团伙 BlogXX 被认为是臭名昭著的 REvil 组织的一个分支，该团伙的攻击者在暗网上泄露了这些数据。这一事件不仅给数百万澳大利亚人带来了巨大的困扰，也凸显了网络安全措施不足的严重后果。

法律和监管行动随之而来
OAIC 表示，Medibank 在遭受黑客攻击之前就已经意识到“其网络安全和信息安全存在严重缺陷” 。

例如，OAIC 引用了 Datacom 在 2020 年 6 月发布的一份 Active Directory风险评估报告，称 Medibank 有过多个人可以访问 Active Directory（用于管理所有 Medibank 用户、组策略和域的 Microsoft 目录服务）。

“一些人被赋予了过多的权限来执行简单的日常工作，而特权用户和非特权用户都没有启用 MFA，这被描述为一个‘严重’缺陷。”

鉴于 Medibank 存储和收集的数据的性质和数量，该公司采用澳大利亚隐私监管机构建议的安全措施“是合理的”，但“Medibank 并没有实施这些措施，或者说没有正确实施或执行这些措施”，OAIC 表示。

因此，为了应对此次违规行为以及导致此次违规行为的疏忽，澳大利亚数据保护监管机构 OAIC宣布对 Medibank 采取法律行动，指控其未能保护个人信息。该公司可能面临超过 200 万澳元的罚款。

该健康保险公司的发言人没有详细说明针对诉讼的行动计划，但早些时候告诉《网络快报》，“Medibank 打算为诉讼程序辩护。”

Medibank 黑客受到制裁并被逮捕
今年早些时候，美国、澳大利亚和英国对亚历山大·根纳季耶维奇·埃尔马科夫实施了制裁，据信他是 2022 年 Medibank 黑客事件的幕后黑手。埃尔马科夫，又名 AlexanderErmakov 和 JimJones，随后与另外两人一起被俄罗斯警方逮捕，罪名是违反第 273 条，该条禁止创建或传播有害计算机代码。鉴于当前的政治气氛，埃尔马科夫不太可能被引渡。

经验教训和建议
Medibank 数据泄露事件给各大组织在网络安全方面带来了几个重要的教训：

1. 实施多因素身份验证：
所有接入点（尤其是 VPN）都必须采用 MFA。MFA 增加了额外的安全层，使攻击者利用被盗凭证的难度大大增加。

2. 适当的警报管理：
组织必须确保安全警报得到及时有效的管理。实施强有力的程序来分类和升级可疑活动可以防止长时间的未经授权的访问。

3. 定期进行安全审计：
定期进行安全审计以识别和纠正漏洞至关重要。这些审计应包括评估现有安全措施的有效性和是否符合最佳实践。

4. 员工培训：
对员工进行网络安全最佳实践的持续培训，包括安全浏览习惯和负责任地使用公司凭证的重要性，对于最大限度地降低因人为错误而导致违规的风险至关重要。