新的法庭文件称,澳大利亚私营健康保险公司 Medibank 在遭到黑客攻击时,其私人网络没有配备多因素身份验证保护。
澳大利亚信息专员办公室 (OAIC) 声称,Medibank 缺乏多因素身份验证,导致 2022 年近 970 万现有和以前客户的数据遭到黑客攻击。
OAIC 周一向联邦法院提交的文件称,此次大规模数据泄露源于 Medibank 承包商的一名员工(一名 IT 服务台运营商),他将自己的登录详细信息保存到了安装在工作电脑上的个人网络浏览器中。
当他随后在个人电脑上登录网络浏览器时,凭证就同步到该设备。
2022 年 8 月 7 日左右,这些详细信息被恶意软件从他的个人电脑中窃取,然后窃贼便能够访问 Medibank 的 Microsoft Exchange Server 和虚拟专用网络 (VPN)。
法庭文件称:“Global Protect VPN 不需要两次或两次以上的身份证明或多因素身份验证 (MFA)。
“相反,Medibank 的 Global Protect VPN 配置使得只需要设备证书或用户名和密码(例如 Medibank Credentials)。”
此次黑客攻击导致 Medibank 和 ahm 过去和现在的客户的姓名、地址、医疗保险号码、健康信息和财务信息等个人信息被发布在暗网上。
OAIC 指控 Medibank 违反了《隐私法》的规定,没有采取足够的措施保护其持有的客户敏感信息。
2018 年和 2020 年,Medibank 意识到其网络安全存在弱点和漏洞,包括“不安全或弱密码要求方面的缺陷”。
Datacom 在 2020 年发布的另一份报告发现,“一些人被赋予了过多的权限来执行简单的日常工作,而特权用户和非特权用户都没有启用 MFA,这被描述为‘严重’缺陷”。
可能面临巨额罚款
每次违反规定最高可被罚款 222 万美元。
专员指控这 970 万客户每人都违反了规定,最高罚款可能超过 21 万亿美元。
是否适用罚款将由联邦法院决定。
《隐私法》于 2022 年底进行修订,规定公司可能被处以的最高罚款为 5000 万美元或违规期间营业额的 30%,以较高者为准。
然而,Medibank 违规行为发生在新法规实施之前,因此应受到旧的处罚。
记者已联系 Medibank 请其发表评论。
发布 , 更新
1718607452
2024-06-17 06:32:45