2022 fue un gran año para las violaciones de seguridad cibernética en Australia.
Tanto el proveedor de telecomunicaciones Optus como la aseguradora de salud privada Medibank sufrieron violaciones de datos a gran escala que afectaron a decenas de millones de australianos, lo que llevó a un mayor enfoque regulatorio y comercial en la seguridad cibernética en los años posteriores.
Las dos violaciones de datos también dieron lugar a acciones legales, con presentaciones judiciales recientes que detallan los presuntos contribuyentes técnicos a los incidentes. Para Optus, un error de codificación en una API inactiva y expuesta proporcionó acceso, mientras que las credenciales comprometidas en una cuenta de administrador abrieron la puerta a los datos de los clientes de Medibank.
¿Qué causó la violación de datos de Optus?
La Autoridad Australiana de Comunicaciones y Medios dijo que un error de codificación en los controles de acceso para una API inactiva orientada a Internet permitió a un ciberdelincuente violar las defensas cibernéticas de Optus y exponer la información de identificación personal de 9,5 millones de clientes anteriores y actuales en 2022.
Cómo un error de codificación provocó una violación de seguridad
En un escrito de demanda adjunto a las órdenes judiciales publicadas en junio de 2024, ACMA detalló cómo los controles de acceso para una API no utilizada, originalmente diseñada para permitir a los clientes acceder a la información en el sitio web de Optus a través de un subdominio, quedaron ineficaces debido a un error de codificación en 2018. .
ACMA afirma que, aunque Optus descubrió y solucionó el error de codificación en agosto de 2021 en relación con el dominio de su sitio web principal, la empresa de telecomunicaciones no detectó ni solucionó el mismo error que afectaba al subdominio. Esto significó que cuando la API estuvo disponible para Internet en 2020, Optus quedó vulnerable a un ciberataque.
VER: Se insta a los CISO de Australia a analizar más de cerca los riesgos de violación de datos
ACMA afirma que Optus perdió varias oportunidades de identificar el error durante cuatro años, incluso cuando se lanzó en un entorno de producción luego de la revisión y pruebas en 2018, cuando pasó a estar disponible en Internet en 2020 y cuando se detectó el error de codificación en el dominio principal. .
“Se permitió que el dominio objetivo permaneciera inactivo y vulnerable a ataques durante dos años y no fue dado de baja a pesar de que no era necesario”, afirma ACMA en los documentos judiciales.
Un ciberdelincuente aprovechó el error de codificación en 2022
El error de codificación permitió a un ciberatacante eludir los controles de acceso a la API y enviar solicitudes a las API de destino durante tres días en septiembre de 2022, alega ACMA, lo que devolvió con éxito la PII de los clientes.
ACMA afirma además que el ciberataque “no fue muy sofisticado ni requirió habilidades avanzadas o conocimiento propietario o interno de los procesos o sistemas de Optus”, sino que “se llevó a cabo mediante un proceso simple de prueba y error”.
Optus sugiere que el hacker evitó activamente la detección
Tras la presentación del procedimiento por parte de ACMA en un tribunal federal, Optus confirmó una vulnerabilidad previamente desconocida debido a un error de codificación histórico. En una declaración a iTnews, Optus dijo que continuará cooperando con ACMA, aunque defenderá la acción cuando sea necesario para corregir el registro.
El director ejecutivo interino de Optus, Michael Venter, dijo a la publicación que la vulnerabilidad fue explotada por un “criminal motivado y decidido” que evadió y eludió varios controles de autenticación y detección, incluso imitando la actividad habitual del cliente al rotar entre decenas de miles de direcciones IP.
El ciberatacante accedió a la PII de más de 9,5 millones de australianos en la infracción de 2022. Esto incluía los nombres completos de los clientes, fechas de nacimiento, números de teléfono, direcciones residenciales, detalles de la licencia de conducir y números de pasaporte y tarjeta de Medicare, algunos de los cuales se publicaron posteriormente en la web oscura.
El regulador de privacidad de Australia alega graves fallas de seguridad cibernética de Medibank
El hecho de que Medibank no implementara controles de seguridad como MFA para el acceso a la red privada virtual, además de no actuar ante múltiples alertas de su sistema de seguridad de respuesta y detección de terminales, allanó el camino para su violación de datos, afirmó el Comisionado de Información de Australia.
La AIC denuncia graves fallos en la ciberseguridad de Medibank
En documentos judiciales para un caso presentado contra Medibank por el regulador de privacidad de Australia, la AIC alega que el nombre de usuario y la contraseña de un contratista de Medibank permitieron a los delincuentes piratear Medibank. Posteriormente, las credenciales se sincronizaron con su computadora personal y se extrajeron mediante malware.
La AIC afirma que un contratista operador de la mesa de servicio de TI guardó las credenciales de Medibank en su perfil personal de navegador de Internet en la computadora de su trabajo. Cuando más tarde inició sesión en el perfil de su navegador de Internet en su computadora personal, las credenciales se sincronizaron y luego se robaron mediante malware.
VER: ¿Australia alguna vez saldrá de la escasez de habilidades en seguridad cibernética?
Las credenciales incluían una cuenta de acceso estándar y una cuenta de administrador. La cuenta de administrador daba acceso a “la mayoría, si no a todos, los sistemas de Medibank”, incluidos controladores de red, consolas de administración y acceso de escritorio remoto a servidores jump box, utilizados para acceder a ciertos directorios y bases de datos de Medibank.
Después de iniciar sesión en Microsoft Exchange Server de Medibank para probar las credenciales de la cuenta de administrador, la AIC afirma que el actor de amenazas pudo autenticarse e iniciar sesión en Global Protect VPN de Medibank. Como MFA no estaba habilitado, solo se requería un certificado de dispositivo o un nombre de usuario y contraseña.
Del 25 de agosto al 13 de octubre de 2022, el actor de amenazas accedió a “numerosos sistemas de TI”, algunos de los cuales proporcionaron información sobre cómo estaban estructuradas las bases de datos de Medibank. El delincuente extrajo 520 gigabytes de datos de la base de datos MARS y los sistemas MPLFiler de Medibank.
La AIC ha alegado que el sistema de seguridad de respuesta y detección de terminales de Medibank generó varias alertas en relación con la actividad del actor de amenazas en diferentes etapas de la infiltración, pero estas alertas no fueron clasificadas ni escaladas por el equipo de seguridad cibernética hasta el 11 de octubre.
Medibank mejora la ciberseguridad y defenderá los procedimientos de la AIC
Los datos extraídos durante la violación se publicaron posteriormente en la web oscura, incluidos nombres, fechas de nacimiento, sexo, números de Medicare, direcciones residenciales, direcciones de correo electrónico, números de teléfono y detalles de visas para trabajadores internacionales y clientes visitantes.
VER: El CISO líder quiere que las empresas australianas eviten las ‘sorpresas’ de los ataques
Los datos confidenciales de PII publicados también incluyen datos de reclamaciones de salud de los clientes, dijo la AIC, incluidos nombres de pacientes, nombres de proveedores, ubicación del proveedor y detalles de contacto, números de diagnóstico y números de procedimientos y fechas de tratamiento.
Deloitte llevó a cabo una revisión externa de la infracción y, en una actualización, Medibank dijo que había estado cooperando con las investigaciones de la OAIC después del incidente. La aseguradora de salud dijo que tiene la intención de defenderse del proceso iniciado por la AIC.
