Nyilván mindent fel lehet törni, elengedő tudással és elegendő időráfordítással bármilyen célpontra sikerrel rá lehet fordulni. Ám az utólagos vizsgálatok gyakorta olyan elemi hiányosságokra mutatnak rá, amelyek elfogadhatatlanok a kiemelten szenzitív adatok védelménél.
Egy tipikusan hasonló példa volt, amikor 2017. szeptemberében szenvedett el a hitelminősítéssel foglalkozó Equifax cég egy olyan informatikai incidenst, amelynek során 143 millió személyes adat szivárgott ki, köztük banki adatok is. Az utólagos forensic vizsgálat ugyanis azt is kimutatta, elmaradt a javítófolt futtatása, és nem is akármilyen körülmények között.
De nem ám, hogy éppen akkor kivételesen nem frissítettek, hanem pénzügyi cégnél nem is létezett szabályozott rendje a hibajavításoknak, és nem volt kinevezett felelőse sem ezen feladatok elvégzésének. De említhetjük a Solarwinds esetet is, ahol évekig a "solarwinds123" jelszó védte hálózatfelügyelettel foglalkozó cég frissítési szervereit.
2022. októberében az ausztrál Medibank egészségbiztosítási szolgáltató szenvedett el egy súlyos kibertámadást, amelynek során ellopták 9.7 millió ügyfelük összes személyes adatát: ügyfelek nevét, születési dátumát, címét, telefonszámát, e-mail címét, Medicare-számát, útlevélszámát, egészségügyi vonatkozású információkat és kárigényekre vonatkozó adatokat, például páciensek neve, szolgáltató neve, diagnózisok és eljárások kódjai, illetve a kezelések időpontjai.
A szivárgás következményeként több száz GB érzékeny adat került illetéktelen kezekbe, és BlogXX elnevezésű kiberbűnözői csoport - amely vélhetően a hírhedt orosz REVil csoportból szerveződött újjá - 10 millió USD értékű váltságdíjat követelt a Medibanktól, hogy megakadályozzák a teljes adatbázis közzétételét a darkweben.
Ezzel az incidenssel kapcsolatban derültek ki most érdekes részletek. Az Ausztrál Információs Biztos Hivatala (OAIC) által kiadott új jelentésben az ügynökség vizsgálata megállapította, hogy jelentős működési hiányosságok vezettek a Medibank hálózatának feltöréséhez, és a jogosulatlan hozzáféréshez.
Az egyik ilyen, hogy a Medibank IT Service Desk Operator munkatársa a személyes böngészőprofilját használta munkahelyi számítógépén, és a böngészőben elmentette Medibank hitelesítő adatait. Ezeket a hitelesítő adatokat azután szinkronizálták az otthoni számítógépével, amely megfertőződött egy információlopó rosszindulatú programmal.
Mindez a gondatlanság hozzájárult ahhoz, hogy a támadók augusztus 7-én képesek voltak ellopni az adminrátori szintű hozzáférési adatokat. Ez az admin fiók hozzáfért a Medibank legtöbb rendszeréhez (talán az összeshez), beleértve a hálózati meghajtókat, a felügyeleti konzolokat és a távoli asztali hozzáféréseket. Innen indulva a támadók feltörték a Microsoft Exchange szervert, és a Virtual Private Network (VPN) szolgáltatáshoz is hozzáfértek.
Ez utóbbinál pedig nem használtak többtényezős hitelesítést a bejelentkezéshez. Bár a helyi EDR (Endpoint Detection and Response) rendszer már korábban is bejelzett, ám ezeket nem vizsgálták ki, és csak októberben egy külsős security cég közreműködése leplezte le a támadást.
