Wbrew podobieństwu tytułu nie chodzi o kontynuację znakomitego filmu z Meryl Streep i Clintem Eastwoodem z 1995 r. Chociaż fabułę można streścić podobnie. 47-letni Medibank Private Ltd. (powstał w 1975 r.) ma siedzibę w Melbourne w stanie Victoria i jest szanowanym dostawcą ubezpieczeń zdrowotnych. W jego poukładaną działalność wkraczają hakerzy, przygotowujący atak ransomware na dane, którymi administruje ubezpieczyciel.
Jednak o ile film był romansem, to w przypadku Medibank mamy do czynienia z dramatem. Wynika to z faktu, że ubezpieczyciel obejmuje swoimi świadczeniami 1/6 mieszkańców Australii, czyli ok. 4 300 000 osób.
Wielocyfrowe konsekwencje incydentu
Trzeba przyznać, że hakerzy mieli rozmach. Według źródeł zbliżonych do śledztwa wszystko zaczęło się od kradzieży danych logowania osoby posiadającej w Medibank wysokie poziomy dostępu do firmowej sieci. Dane te zostały następnie sprzedane w internecie na rosyjskojęzycznym cyberprzestępczym forum. Haker lub grupa hakerów (dalej w liczbie mnogiej), która je kupiła, zinfiltrowała sieć ubezpieczyciela, tworząc dwie tylne furtki (ang. backdoors), w tym jedną zapasową, na wypadek wykrycia.
Atakujący przeczesali dokładnie sieć oraz aplikacje wewnętrzne ubezpieczyciela, po czym wprowadzili do nich program, który pobierał dane klientów z baz danych i umieszczał je w plikach ZIP. Pliki te mogły być następnie pobierane przez hakerów. 12 października podejrzana aktywność została wykryta, a obie furtki zamknięte.
Nie wiadomo, kiedy dane logowania zostały skradzione ani kiedy doszło do pierwszego ataku. Nie wiadomo także, w jaki sposób hakerom udało się obejść uwierzytelnianie wieloskładnikowe (ang. Multi-Factor Authentication – metoda uwierzytelniania, w której użytkownik, aby dostać się do strzeżonych zasobów, np. aplikacji mobilnej, konta online lub sieci VPN, musi zweryfikować się na co najmniej dwa różne sposoby).
13 października ubezpieczyciel poinformował publicznie, że w wyniku „incydentu cybernetycznego” zmuszony był wyłączyć dwa systemy dostępne dla klientów. Ich dane miały pozostać nienaruszone. Jednak już tydzień później w kolejnym komunikacie informowano, że według hakerów, którzy skontaktowali się z Medibank 17 października, są oni w posiadaniu ponad 200 GB danych wykradzionych z systemów ubezpieczyciela.
By uwiarygodnić żądanie okupu (10 mln dol.), hakerzy przesłali próbkę 100 rekordów (łącznie łupem hakerów padły dane 9 mln 700 tys. byłych i obecnych klientów ubezpieczyciela).
Dane do wiadomości publicznej
Ujawnione do tej pory dane obejmowały także szczegóły negocjacji między cyberprzestępcami a dyrektorem generalnym Medibank – Davidem Koczkarem. 5 listopada ubezpieczyciel ostatecznie odmówił zapłaty okupu.
– Bazując na opiniach ekspertów ds. cyberprzestępczości, uważamy, że istnieje niewielka szansa, by zapłata okupu zapewniła zwrot danych naszych klientów i zapobiegła ich publikacji – oświadczył Koczkar. – W rzeczywistości zapłacenie okupu może przynieść odwrotny skutek i zachęci przestępców do wyłudzania pieniędzy bezpośrednio od naszych klientów.
9 listopada hakerzy zaczęli regularnie upubliczniać wykradzione dane. Na pierwszy ogień poszło 1 tys. rekordów, zawierających nazwiska, adresy, daty urodzin, numery Medicare, numery telefonów i dane dotyczące roszczeń medycznych, w tym informacje o diagnozach, procedurach i miejscu wykonania świadczeń medycznych.
Według Agence France-Presse cyberprzestępcy podzielili ofiary naruszenia danych opublikowanych jako pierwsze na dwie grupy: „niegrzecznych” i „grzecznych”. Grupa „niegrzecznych” obejmowała osoby wraz z przypisanymi kodami diagnostycznymi, które odpowiadały np.: uzależnieniu od narkotyków, nadużywaniu alkoholu lub HIV. Kolejnego dnia opublikowany został plik opatrzony nazwą „aborcje”. Ujawnione dane zawierały nazwiska znanych klientów Medibank, takich jak premier Anthony Albanese, minister (o ironio) bezpieczeństwa cybernetycznego Clare O’Neil, inni politycy, aktorzy, blogerzy czy aktywiści LGBTQ+. Ujawniono także zrzuty ekranu komunikatora WhatsApp sugerujące, że przestępcy planują ujawnić „klucze do odszyfrowywania kart kredytowych”, pomimo zapewnień Medibank, że nie uzyskali oni dostępu do żadnych danych bankowych ani kart kredytowych.
Odszkodowanie?
W miarę, jak rosła ilość upublicznionych danych, rósł też gniew klientów ubezpieczyciela. Dwie kancelarie prawne (Bannister Law i Centennial Lawyers) poinformowały, że zbadają, czy Medibank naruszył swoje zobowiązania wobec klientów wynikające z krajowej ustawy o ochronie prywatności, politykę prywatności i warunki umów zawartych z klientami, a także ocenią, czy w wyniku naruszenia powinno zostać wypłacone odszkodowanie. Możliwe są więc pozwy zbiorowe.
Ubezpieczyciel oświadczył, że szacunkowe koszty zdarzenia wyniosą od 16 mln 150 tys. dol. do 22 mln 600 tys. dol., nie licząc ewentualnych, wspomnianych wyżej odszkodowań, kosztów postępowania przed regulatorem ani kosztów prawnych. Wartość akcji Medibank spadła o ponad 14%, co jest największym jednodniowym spadkiem od debiutu na giełdzie w 2014 r.
Ujawnienie danych wpisuje się w falę cyberataków, zalewających największe australijskie firmy od czasu, gdy firma telekomunikacyjna Optus, należąca do Singapore Telecommunications Ltd. ujawniła, że w wyniku cyberataku mogła stracić dane 10 mln swoich klientów. Według ekspertów nie jest jasne, czy ujawnione naruszenia danych były ze sobą powiązane, biorąc pod uwagę zróżnicowany charakter ataków, ale echa, jakie wywołał atak na Optus, mogły przyciągnąć uwagę innych hakerów. – Kiedy masz do czynienia z głośnym incydentem, takim jak Optus, hakerzy zwracają na to uwagę i starają się wykroić kawałek tortu dla siebie – powiedział Jeremy Kirk, redaktor naczelny w Information Security Media Group, wydawnictwie specjalizującym się w cyberbezpieczeństwie.
Koszty polisy i jej braku
Jeśli chodzi o samych hakerów, trop prowadzi do rosyjskojęzycznej grupy ransomware (oprogramowanie wymuszające okup, które blokuje użytkownikom dostęp do ich systemów lub plików, a następnie żąda uiszczenia opłaty w zamian za jego przywrócenie) REvil (skrót od Ransomware Evil), znanej także jako Sodinokibi.
Rosyjska Federalna Służba Bezpieczeństwa poinformowała w styczniu, że grupa REvil została rozbita po serii aresztowań przeprowadzonych pod naciskiem Stanów Zjednoczonych. Dawna strona internetowa grupy zaczęła jednak przekierowywać ruch do nowej witryny, na której znajdują się i publikowane są skradzione dane, co świadczy o tym, że grupa przetrwała.
Pikanterii całej sprawie dodaje fakt, że pomimo iż Medibank jest ubezpieczycielem administrującym danymi wysoce wrażliwymi, nie posiadał w momencie ataku ubezpieczenia cyberryzyk, co dyrektor finansowy Medibank Mark Roger tłumaczył wysoką ceną tegoż. Pozostawię to bez komentarza.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland
