El expediente judicial del comisionado de información de Australia concluyó que en el incidente en la aseguradora de salud privada ocurrido en 2022 y que afectó a 10 millones de personas, fue fundamental la falta de autenticación multifactor en su VPN global, lo que a la postre permitió a un actor de amenazas utilizar credenciales robadas de un contratista de servicios de TI para acceder a los sistemas de Medibank.
El regulador de protección de datos de Australia ha revelado en documentos judiciales que el ataque de 2022 contra el proveedor de seguros de salud Medibank fue probablemente causado por la ausencia de autenticación multifactor, lo que permitió a los hackers acceder a los sistemas informáticos de la compañía.
Como resultado del ciberataque, los cibercriminales filtraron y publicaron en la dark web los datos personales de 9,7 millones de clientes actuales y anteriores, incluyendo información sensible sobre sus enfermedades, discapacidades o lesiones.
El informe del regulador fue publicado en esta semana por la Oficina del Comisionado de Información de Australia (OAIC) y señala que el ataque se debió a que la empresa descuidó medidas básicas de ciberseguridad, como exigir a sus empleados usar autenticación multifactor para acceder a su VPN.
Medibank no tomó «medidas razonables para proteger la información personal del uso indebido, acceso no autorizado o divulgación,» afirmó la OAIC.
Dada la naturaleza y el volumen de datos que Medibank almacena y recopila, y el riesgo de daño para un individuo en caso de una brecha, «era razonable» que la compañía adoptara las medidas de seguridad recomendadas por el regulador de privacidad de Australia antes del ataque, según los documentos judiciales.
«Estas medidas no fueron implementadas, o alternativamente, no fueron implementadas o aplicadas correctamente por Medibank,» añadió la OAIC.
El organismo de vigilancia de la privacidad en Australia indicó que antes del incidente, Medibank estaba al tanto «de serias deficiencias en su ciberseguridad y seguridad de la información.»
El informe concluye que el ataque se inicia una vez que un operador de servicio de TI de un contratista utilizó un perfil de su navegador personal en una computadora de trabajo. Sus credenciales se sincronizaron con su computadora personal, la cual fue infectada con un malware que robó su información, permitiendo a los cibercriminales obtener todas las contraseñas guardadas en su navegador, incluyendo las que proporcionaban acceso a cuentas administrativas de Medibank.
En particular, el atacante pudo autenticarse y acceder a la VPN Global Protect de Medibank usando solo las credenciales de Medibank, ya que la empresa no requería autenticación multifactor. En su lugar, la VPN estaba configurada para requerir solo un certificado de dispositivo o un nombre de usuario y contraseña para acceder.
Mientras los atacantes accedían a más sistemas, Medibank comenzó a recibir diversas alertas, las cuales no fueron «apropiadamente priorizadas o escaladas,» según la OAIC. Como resultado del ciberataque, el actor de amenaza pudo exfiltrar aproximadamente 520 gigabytes de datos de los sistemas de Medibank.
Los reguladores australianos emprenderán acciones legales contra Medibank por no proteger los datos médicos de millones de australianos. La compañía podría enfrentar una multa potencial de más de 21 mil millones de dólares. Medibank declaró a principios de junio su intención de defenderse en los procedimientos legales.
El ataque a Medibank ha sido vinculado previamente a Aleksandr Gennadievich Ermakov, un ciudadano ruso sancionado por Australia, el Reino Unido y los Estados Unidos.
Ermakov, también conocido como «Gustave Dore» y «blade_runner,» se cree que forma parte del infame grupo de ransomware ruso REvil.