2024-06-22 06:12:46
Dommage pour l’informaticien.
En se connectant via son ordinateur de travail, il a fait ce que font beaucoup de gens.
Il a enregistré son nom d’utilisateur et son mot de passe dans son navigateur Internet personnel.
Ces informations d’identification ont ensuite été « synchronisées » sur son ordinateur personnel.
Mais en tant qu’employé d’un sous-traitant du géant privé de l’assurance maladie Medibank, il a involontairement ouvert la porte dérobée à un cybercriminel russe présumé et à l’une des pires violations de la vie privée signalées dans l’histoire de l’Australie.
Plus d’un Australien sur trois s’est soudainement retrouvé à risque de voir ses données les plus sensibles divulguées à la consommation publique.
Ce scénario cauchemardesque s’est réalisé pour des centaines de personnes en novembre et décembre 2022, avec des interruptions de grossesse parmi les procédures publiées en détail sur ce qu’on appelle le dark web.
Chargement…
Le directeur général de Medibank, David Koczkar, a qualifié cette décision de « honteuse », car l’assureur, conformément aux idées reçues, a refusé de payer une rançon.
Dans l’année qui a suivi le piratage, Medibank a augmenté ses revenus et son bénéfice brut à 7,1 milliards de dollars et 727,1 millions de dollars respectivement.
Ce n’est pas le malheureux entrepreneur en informatique, mais la grosse machine de l’entreprise que le commissaire australien à l’information cherche désormais à demander des comptes.
L’entreprise a intenté une action devant la Cour fédérale, affirmant que l’assureur privé avait violé la loi sur la protection de la vie privée pour chacune des 9,7 millions de personnes. Chaque infraction peut entraîner une amende maximale de 2,22 millions de dollars.
Dans des documents judiciaires, le commissaire a présenté une chronologie des erreurs présumées en matière de cybersécurité de la part de Medibank, équivalant à « de graves interférences dans la vie privée d’environ 9,7 millions de personnes ».
Il indique que vers le 7 août 2022, l’ordinateur personnel de l’entrepreneur informatique a été piraté par un « acteur menaçant » qui a volé son nom d’utilisateur et son mot de passe Medibank.
Cet acteur menaçant, selon les gouvernements australien et américain, était un artiste d’extorsion de premier ordre né à Moscou, qui passait par identifiants en ligne, notamment “blade_runner” et “JimJones”.
Une image d’Alexandre Ermakov publiée par le ministère des Affaires étrangères le 23 janvier 2024. (Fourni : ministère des Affaires étrangères et du Commerce)
Le gouvernement australien impliquera plus tard Aleksandr Ermakov, qui le gouvernement américain a déclaré était lié à REvil, l’un des « gangs de cybercriminalité les plus notoires au monde ».
REvil aurait injecté un ransomware sur environ 175 000 ordinateurs dans le monde pour récolter au moins 200 millions de dollars de rançons.
L’homme alors âgé de 32 ans espérait apparemment obtenir 15 millions de dollars supplémentaires de Medibank.
La plainte de l’AIC indique que « l’acteur menaçant » a passé des semaines à obtenir sa monnaie d’échange.
Il s’agissait d’une montagne de données sur les clients de Medibank, depuis les noms jusqu’aux anniversaires, les adresses personnelles et électroniques, les numéros de téléphone, de passeport et d’assurance-maladie, les informations financières ainsi que les détails sur l’emploi, la race et l’origine ethnique, les maladies, les handicaps, les blessures et les traitements de santé.
En Australie, il s’agit des « données les plus sensibles, en dehors des données classifiées », a déclaré à l’ABC l’expert en cybersécurité Iman Tahami.
Les alertes « ne sont pas correctement remontées »
Les pirates ont attendu cinq jours pour tester les informations d’identification du compte administrateur du sous-traitant informatique en se connectant au serveur Microsoft Exchange de Medibank.
Environ 11 jours plus tard, ils sont entrés dans le « réseau privé virtuel » (VPN) de Medibank qui contrôlait l’accès à distance à son réseau d’entreprise.
Ils n’ont pu le faire que parce que Medibank, le géant de 10 milliards de dollars et gardien des secrets de plus de 9 millions de personnes, n’a pas exigé ce qu’on appelle « l’authentification multifacteur » pour son VPN, selon les documents du commissaire.
Cette exigence de deux ou plusieurs moyens de prouver l’identité d’un utilisateur était déjà à l’époque une garantie standard pour les grandes organisations.
Au lieu de cela, les pirates n’avaient besoin que du nom d’utilisateur et du mot de passe de quelqu’un.
Une image d’Alexandre Ermakov publiée par le ministère des Affaires étrangères le 23 janvier 2024. (Fourni : ministère des Affaires étrangères et du Commerce)
Pourtant, à peu près à ce moment-là, les pirates informatiques ont déclenché un câble avec le logiciel de sécurité de l’assureur, qui envoyait des alertes à un e-mail de sécurité informatique.
Mais il semblait que personne n’était à la maison.
“Ces alertes n’ont pas été correctement triées ou remontées par Medibank ou son fournisseur de services… à ce moment-là”, indique la déclaration du commissaire à l’information.
Cela aurait laissé la voie libre aux pirates informatiques pour accéder à divers systèmes informatiques de Medibank, dont un contenant des informations sur la façon dont une base de données clé ailleurs était structurée.
Il s’agissait de la base de données « MARS », qui contenait « des informations personnelles sur les clients de Medibank, y compris des informations sensibles et de santé ».
Entre le 25 août et le 13 octobre, Ermakov et l’équipe de REvil auraient récupéré 520 gigaoctets de ces informations.
Les pirates ont continué à faire sauter les câbles de sécurité et à déclencher des alertes, mais celles-ci n’ont, là encore, « pas été correctement triées ni remontées par Medibank ou [its service provider]”, affirme le commissaire.
Le 11 octobre – près de deux mois après que le pirate informatique s’est connecté pour la première fois au système – l’équipe des opérations de sécurité de Medibank a répondu à un « incident de haute gravité » et à une alerte concernant des fichiers en cours de modification pour exploiter une vulnérabilité.
Ils ont fait appel à un service d’investigation numérique appelé Threat Intelligence pour enquêter.
Selon l’affirmation du commissaire, jusqu’au 16 octobre 2022, lorsqu’un analyste de Threat Intelligence a noté que la sortie de « volumes suspects de données » avait été retirée du réseau, « Medibank n’était pas au courant qu’un acteur malveillant avait accédé aux données des clients et exfiltré de ses systèmes”.
Ermakov et REvil auraient secrètement aspiré des données sensibles pendant près de deux mois.
Les pirates ont rompu leur couverture et ont pris contact les 19 et 22 octobre 2022, donnant à Medibank un avant-goût des fichiers dont elle disposait.
Sans rançon payée, les données ont commencé à fuir sur le dark web pendant trois semaines.
Medibank met en garde contre de « graves déficiences » en matière de sécurité informatique
Compte tenu de « la taille, des ressources, de la nature et du volume des informations personnelles qu’elle détenait… et du risque de préjudice pour un individu en cas de violation », Medibank n’a pas pris les mesures appropriées pour protéger la vie privée de ses clients, selon le réclamation du commissaire.
Les conséquences de son échec incluent l’exposition de plus de neuf millions de personnes à « des préjudices, notamment une détresse émotionnelle potentielle et des risques matériels d’usurpation d’identité, d’extorsion et de criminalité financière », indique-t-il.
L’équipe informatique principale de Medibank comprenait 13 professionnels de la sécurité informatique à temps plein, travaillant avec un budget de cybersécurité d’un million de dollars par an, sur un budget total de 4 à 5 millions de dollars pour l’informatique.
De plus, Medibank était « consciente des graves lacunes de son cadre de cybersécurité et de sécurité de l’information », affirme le commissaire.
Entre 2018 et août 2022 – le mois du piratage – des consultants, dont KPMG et PricewaterhouseCoopers, ont averti à plusieurs reprises Medibank de rehausser son jeu en matière de sécurité des informations.
Le commissaire a répertorié les audits internes qui ont mis en évidence certains des talons d’Achille de Medibank qui l’auraient exposée aux cybercriminels russes.
Ceux-ci comprenaient trois tests réalisés par Threat Intelligence qui ont identifié les « exigences en matière de mots de passe non sécurisés ou faibles » de Medibank en mars et septembre 2018 et novembre 2020.
Un rapport de KPMG datant d’août 2021 avertissait que l’authentification multifacteur n’avait « pas été mise en œuvre pour les utilisateurs privilégiés lors de l’accès à des systèmes particuliers, à des portails back-end ou à des serveurs de prise en charge ».
Une présentation interne de Medibank quelques mois avant le piratage a révélé qu’un ensemble de contrôles visant à identifier les lacunes dans la conformité aux normes de sécurité de l’information mandatées par l’Autorité australienne de régulation prudentielle avait été « préparé en 2020, mais jamais mis en œuvre ».
Le procès devant la Cour fédérale est suivi attentivement par des cabinets d’avocats qui présentent des demandes d’indemnisation distinctes.
Elizabeth O’Shea, une avocate experte en Internet chez Maurice Blackburn, agissant dans le cadre d’une plainte collective visant à obtenir des ordonnances d’indemnisation du commissaire, savait qu’elle disait une évidence : « Nous nous félicitons de cette évolution ».
“Nous souhaitons évidemment vraiment nous assurer que [our] la plainte représentative progresse”, a-t-elle déclaré.
“Mais nous disons qu’il s’agit d’une étape importante sur le chemin, ce qui suggère que bon nombre des personnes avec qui nous avons parlé ont subi un préjudice à la suite de cette violation de données, et que le commissaire conviendra avec nous qu’elles devraient avoir droit à compensation.”
Les avocats de Baker McKenzie, qui mène un recours collectif pour les clients concernés de Medibank, ont refusé de commenter.
Medibank a également refusé de commenter mais, dans une déclaration à l’ASX, elle a déclaré qu’elle avait l’intention de “défendre la procédure”.
Publié il y a 8hil y a 8 heuresven. 21 juin 2024 à 20h50, mis à jour il y a 7hil y a7 heuresven. 21 juin 2024 à 22h17
#Comment #Medibank #aurait #ignoré #les #signes #avantcoureurs #lune #des #pires #violations #cybersécurité #Australie
1719035190
