2022 fue un gran año en cuanto a violaciones de seguridad cibernética en Australia.
Tanto el proveedor de telecomunicaciones Optus como la aseguradora de salud privada Medibank sufrieron violaciones de datos a gran escala que afectaron a decenas de millones de australianos, lo que llevó a un mayor enfoque regulatorio y comercial en la seguridad cibernética en los años posteriores.
Las dos violaciones de datos también dieron lugar a acciones legales, y en los últimos expedientes judiciales se detallan los supuestos contribuyentes técnicos a los incidentes. En el caso de Optus, un error de codificación en una API expuesta e inactiva proporcionó acceso, mientras que las credenciales comprometidas en una cuenta de administrador abrieron la puerta a los datos de los clientes de Medibank.
¿Qué causó la violación de datos de Optus?
La Autoridad Australiana de Comunicaciones y Medios dijo que un error de codificación en los controles de acceso de una API inactiva conectada a Internet permitió a un ciberdelincuente violar las defensas cibernéticas de Optus y exponer la información de identificación personal de 9,5 millones de clientes anteriores y actuales en 2022.
Cómo un error de codificación provocó una violación de seguridad
en un Declaración de demanda anexa a las órdenes judiciales publicadas en junio de 2024ACMA detalló cómo los controles de acceso para una API no utilizada, originalmente diseñada para permitir a los clientes acceder a la información en el sitio web de Optus a través de un subdominio, se volvieron ineficaces debido a un Error de codificación en 2018.
La ACMA afirma que, aunque Optus descubrió y solucionó el error de codificación en agosto de 2021 en relación con el dominio principal de su sitio web, la empresa de telecomunicaciones no detectó ni solucionó el mismo error que afectaba al subdominio. Esto significó que cuando la API se hizo accesible a Internet en 2020, Optus quedó vulnerable a un ciberataque.
VER: Se insta a los CISO de Australia a analizar más de cerca los riesgos de violación de datos
La ACMA afirma que Optus perdió varias oportunidades de identificar el error a lo largo de cuatro años, incluso cuando se lanzó a un entorno de producción después de la revisión y las pruebas en 2018, cuando se puso en funcionamiento en Internet en 2020 y cuando se detectó el error de codificación en el dominio principal.
“Se permitió que el dominio objetivo permaneciera inactivo y vulnerable a ataques durante dos años y no fue desmantelado a pesar de que no era necesario”, afirma la ACMA en los documentos judiciales.
Un ciberdelincuente aprovechó un error de codificación en 2022
El error de codificación permitió a un atacante cibernético eludir los controles de acceso a la API y enviar solicitudes a las API de destino durante tres días en septiembre de 2022, según ACMA, lo que devolvió con éxito la información de identificación personal de los clientes.
La ACMA afirma además que el ciberataque “no fue muy sofisticado ni requirió habilidades avanzadas o conocimiento interno o exclusivo de los procesos o sistemas de Optus”, sino que se “llevó a cabo mediante un simple proceso de prueba y error”.
Optus sugiere que el hacker evitó activamente ser detectado
Tras la presentación de la demanda por parte de la ACMA en un tribunal federal, Optus confirmó una vulnerabilidad previamente desconocida a partir de un error de codificación histórico. Declaración a iTnewsOptus dijo que continuará cooperando con ACMA, aunque defenderá la acción cuando sea necesario para corregir el registro.
Michael Venter, director ejecutivo interino de Optus, dijo a la publicación que la vulnerabilidad fue explotada por un “delincuente motivado y decidido” que evadió y eludió varios controles de autenticación y detección, incluso imitando la actividad habitual del cliente rotando a través de decenas de miles de direcciones IP.
En la vulneración de 2022, el ciberatacante accedió a la información personal identificable de más de 9,5 millones de australianos, incluidos los nombres completos, fechas de nacimiento, números de teléfono, direcciones residenciales, detalles de la licencia de conducir y números de pasaporte y tarjeta de Medicare de los clientes, algunos de los cuales se publicaron posteriormente en la red oscura.
El regulador de privacidad de Australia denuncia graves fallos de ciberseguridad en Medibank
El fracaso de Medibank en implementar controles de seguridad como MFA para el acceso a redes privadas virtuales, así como no actuar ante múltiples alertas de su sistema de seguridad de detección y respuesta de puntos finales, allanó el camino para la violación de datos, afirmó el Comisionado de Información de Australia.
La AIC denuncia graves fallos en la ciberseguridad de Medibank
En Documentos presentados ante el tribunal para un caso presentado contra Medibank por el regulador de privacidad de AustraliaLa AIC alega que el nombre de usuario y la contraseña de un contratista de Medibank permitieron a los delincuentes acceder a Medibank. Las credenciales se sincronizaron posteriormente con su computadora personal y se extrajeron mediante malware.
La AIC afirma que un contratista operador de un servicio de asistencia informática guardó las credenciales de Medibank en su perfil de navegador de Internet personal en su computadora del trabajo. Cuando más tarde inició sesión en su perfil de navegador de Internet en su computadora personal, las credenciales se sincronizaron y luego fueron robadas mediante malware.
VER: ¿Podrá Australia salir alguna vez de la escasez de habilidades en materia de ciberseguridad?
Las credenciales incluían una cuenta de acceso estándar y una cuenta de administrador. La cuenta de administrador otorgaba acceso a “la mayoría, si no todos, los sistemas de Medibank”, incluidos los controladores de red, las consolas de administración y el acceso remoto a los servidores Jumpbox, utilizados para acceder a ciertos directorios y bases de datos de Medibank.
Después de iniciar sesión en el servidor Microsoft Exchange de Medibank para probar las credenciales de la cuenta de administrador, el AIC afirma que el actor de amenazas pudo autenticarse e iniciar sesión en la VPN Global Protect de Medibank. Como la autenticación multifactor no estaba habilitada, solo se requirió un certificado de dispositivo o un nombre de usuario y una contraseña.
Del 25 de agosto al 13 de octubre de 2022, el actor de amenazas accedió a “numerosos sistemas informáticos”, algunos de los cuales proporcionaron información sobre cómo estaban estructuradas las bases de datos de Medibank. El delincuente procedió a extraer 520 gigabytes de datos de los sistemas MARS Database y MPLFiler de Medibank.
La AIC ha alegado que el sistema de seguridad de detección y respuesta de puntos finales de Medibank generó varias alertas en relación con la actividad del actor de la amenaza en diferentes etapas de la infiltración, pero estas alertas no fueron clasificadas ni escaladas por el equipo de seguridad cibernética hasta el 11 de octubre.
Medibank mejora la ciberseguridad y defenderá los procedimientos de la AIC
Los datos exfiltrados durante la filtración se publicaron posteriormente en la red oscura, incluidos nombres, fechas de nacimiento, género, números de Medicare, direcciones residenciales, direcciones de correo electrónico, números de teléfono, detalles de visas para trabajadores internacionales y clientes visitantes.
VER: Un importante CISO quiere que las empresas australianas eviten los ataques “sorpresa”
La información PII confidencial publicada también incluía datos de reclamos de salud de clientes, dijo la AIC, incluidos nombres de pacientes, nombres de proveedores, ubicación y detalles de contacto del proveedor, números de diagnóstico y números de procedimiento y fechas de tratamiento.
Deloitte realizó una revisión externa de la violación y, en una actualización, Medibank Dijo que había estado cooperando con las investigaciones de la OAIC después del incidente.La aseguradora de salud dijo pretende defender el procedimiento Presentado por la AIC.
