Avustralya gizlilik gözlemcisinin 2022 veri ihlali nedeniyle vatandaşlarının kişisel bilgilerini korumadığı gerekçesiyle Medibank’a dava açmasından iki hafta sonra, Bilgi Komiserliği ofisi bu hafta olaya yol açan güvenlik aksaklıklarının kapsamlı bir analizini kamuoyuna açıkladı.
Avustralya’nın önde gelen sağlık sigortası sağlayıcılarından Medibank, Ekim 2022’de 9,7 milyon mevcut ve eski müşterinin kişisel verilerinin tehlikeye atıldığı yıkıcı bir siber saldırıyla karşı karşıya kaldı.
Avustralya Bilgi Komiserliği Ofisi’nin (OAIC) raporuna göre, saldırı büyük ihtimalle çalışanlarının VPN’de oturum açmak için çok faktörlü kimlik doğrulama kullanmasını zorunlu kılmak gibi temel siber güvenlik önlemlerinin eksikliğinden kaynaklandı.
Medibank İhlalinde Olayların Sırası
Medibank’a yönelik saldırı, üçüncü taraf bir yüklenicinin BT hizmet masası operatörünün kişisel tarayıcı profilini bir iş bilgisayarında kullanması ve Medibank kimlik bilgilerini yanlışlıkla ev bilgisayarıyla senkronize etmesiyle başladı. Bu ev cihazına bilgi çalan kötü amaçlı yazılım bulaştı ve bu durum, yüksek erişim izinlerine sahip olanlar da dahil olmak üzere bilgisayar korsanlarının bu kimlik bilgilerini ele geçirmesine olanak sağladı.
Saldırganlar, Medibank’ın Palo Alto Networks Global Koruma VPN’sine giriş yapmadan önce, bu kimlik bilgilerini kullanarak ilk olarak 12 Ağustos 2022’de Medibank’ın Microsoft Exchange sunucusunu ihlal etti. Bu arada, VPN çok faktörlü kimlik doğrulama (MFA) gerektirmiyordu, bu da saldırganların erişim kazanmasını kolaylaştırıyordu.
Medibank, Microsoft Exchange ProxyNotShell olayını araştırması için bir tehdit istihbarat firmasını ancak Ekim ortasında görevlendirdi ve verilerin daha önce bir siber saldırıda çalındığını keşfetti.
“İlgili Dönem boyunca, Yönetici Hesabı, ağ sürücüleri, yönetim konsolları ve atlama kutusu sunucularına (belirli Medibank dizinlerine ve veritabanlarına erişmek için kullanılan) uzak masaüstü erişimi de dahil olmak üzere Medibank’ın sistemlerinin çoğuna (hepsi olmasa da) erişime sahipti.” – OAIC raporu.
Güvenlik Arızaları ve Kaçırılan Uyarılar
Çok Faktörlü Kimlik Doğrulamanın (MFA) Eksikliği
Medibank ihlalindeki kritik başarısızlıklardan biri, sağlık sigortası şirketinin VPN erişimi için MFA’yı uygulamayı ihmal etmesiydi. OAIC raporu, ilgili dönemde VPN’nin yalnızca bir cihaz sertifikası veya kullanıcı adı ve şifreyle erişime izin verecek şekilde yapılandırıldığını söyledi. MFA tarafından sağlanan ek güvenlik katmanına ihtiyaç duymuyordu. Bu gözetim, yetkisiz erişim engelini önemli ölçüde azalttı.
Operasyonel ve Uyarı Yönetimi Arızaları
24 ve 25 Ağustos’ta Uç Nokta Tespit ve Yanıt (EDR) yazılımlarından şüpheli etkinliklere ilişkin çeşitli güvenlik uyarıları almasına rağmen, bu uyarılar uygun şekilde önceliklendirilmedi veya iletilmedi. Bu gecikme, saldırganların operasyonlarına uzun süre fark edilmeden devam etmelerine olanak tanıdı ve sonuçta şirketin MARS Veritabanı ve MPLFiler sistemlerinden yaklaşık 520 gigabaytlık hassas verinin sızmasına yol açtı.
Verilerin Tehlikeye Atılması ve Sonuçları
Çalınan veriler arasında müşterilerin adları, doğum tarihleri, adresleri, telefon numaraları, e-posta adresleri, Medicare numaraları, pasaport numaraları ve sağlıkla ilgili kapsamlı veriler gibi son derece hassas bilgiler yer alıyordu. Bu tür bilgilerin açığa çıkması, kimlik hırsızlığından tıbbi verilerin çeşitli dolandırıcılık ve dolandırıcılık amacıyla potansiyel olarak kötüye kullanılmasına kadar, etkilenen kişiler için ciddi sonuçlara yol açmaktadır.
Kötü şöhretli REvil grubunun bir kolu olduğuna inanılan fidye yazılımı çetesi BlogXX ile bağlantılı saldırganlar, verileri karanlık ağda sızdırdı. Bu olay yalnızca milyonlarca Avustralyalıya ciddi sıkıntı yaşatmakla kalmadı, aynı zamanda yetersiz siber güvenlik önlemlerinin ciddi sonuçlarını da ortaya çıkardı.
Yasal ve Düzenleyici Aksiyonların Takibi
OAIC, Medibank’ın hack öncesinde “siber güvenlik ve bilgi güvenliğindeki ciddi eksikliklerin” farkında olduğunu söyledi.
Örneğin, Haziran 2020’de Datacom’un Active Directory Risk Değerlendirme raporuna atıfta bulunan OAIC, Medibank’ın Active Directory’ye (tüm Medibank kullanıcılarının, grup politikalarının ve etki alanlarının yönetimi için kullanılan Microsoft dizin hizmetidir) erişimi olan çok sayıda kişiye sahip olduğunu söyledi. .
“Birkaç kişiye basit günlük rutinleri gerçekleştirmeleri için aşırı ayrıcalıklar verilmişti ve MFA, ayrıcalıklı ve ayrıcalıklı olmayan kullanıcılar için etkinleştirilmemişti; bu da ‘kritik’ bir kusur olarak tanımlandı.”
Medibank’ın depoladığı ve topladığı verilerin niteliği ve hacmi göz önüne alındığında, şirketin Avustralya gizlilik düzenleyicisi tarafından önerilen güvenlik önlemlerini alması “makuldü” ancak “bu önlemler uygulanmadı veya alternatif olarak düzgün bir şekilde uygulanmadı veya uygulanmadı” OAIC, Medibank tarafından “dedi.
Bu nedenle, ihlale ve buna yol açan ihmale yanıt olarak Avustralya’nın veri koruma düzenleyicisi OAIC, kişisel bilgileri korumadığı için Medibank’a karşı yasal işlem başlatacağını duyurdu. Şirket, 2 milyon AU$’ı aşan potansiyel para cezalarıyla karşı karşıyadır.
Sağlık sigortası şirketinin bir sözcüsü, davaya karşı eylem planını ayrıntılı olarak açıklamadı ancak daha önce The Cyber Express’e “Medibank’ın davayı savunma niyetinde olduğunu” söyledi.
Medibank Hacker’ına Yaptırım Uygulandı ve Tutuklandı
Bu yılın başlarında ABD, Avustralya ve İngiltere, 2022 Medibank hacklemesinin arkasında olduğuna inanılan Aleksandr Gennadievich Ermakov’a yaptırım uyguladı. Alexander Ermakov ve Jim Jones gibi takma adlarla da bilinen Ermakov, daha sonra diğer iki kişiyle birlikte Rus polisi tarafından zararlı bilgisayar kodu oluşturmayı veya yaymayı yasaklayan 273. Maddeyi ihlal ettiği gerekçesiyle tutuklandı. Mevcut siyasi iklim göz önüne alındığında Ermakov’un iadesi pek mümkün görünmüyor.
Dersler ve Öneriler
Medibank ihlali, siber güvenliğe ilişkin kuruluşlar için birçok kritik dersin altını çiziyor:
1. Çok Faktörlü Kimlik Doğrulamanın Uygulanması:
Tüm erişim noktalarında, özellikle de VPN’lerde MFA’nın kullanılması çok önemlidir. MFA, ek bir güvenlik katmanı ekleyerek saldırganların çalınan kimlik bilgilerinden yararlanmasını önemli ölçüde zorlaştırır.
2. Doğru Uyarı Yönetimi:
Kuruluşlar, güvenlik uyarılarının hızlı ve etkili bir şekilde yönetilmesini sağlamalıdır. Şüpheli etkinliklerin tetiklenmesi ve iletilmesine yönelik sağlam prosedürlerin uygulanması, uzun süreli yetkisiz erişimi önleyebilir.
3. Düzenli Güvenlik Denetimleri:
Güvenlik açıklarını belirlemek ve düzeltmek için düzenli güvenlik denetimleri yapmak çok önemlidir. Bu denetimler, mevcut güvenlik önlemlerinin etkinliğinin ve en iyi uygulamalara uygunluğun değerlendirilmesini içermelidir.
4. Çalışan Eğitimi:
Çalışanlara, güvenli gezinme alışkanlıkları ve kurumsal kimlik bilgilerinin sorumlu bir şekilde kullanılmasının önemi de dahil olmak üzere en iyi siber güvenlik uygulamaları hakkında sürekli eğitim verilmesi, insan hatasından kaynaklanan ihlal riskini en aza indirmek için hayati öneme sahiptir.