【大紀元2025年04月05日訊】(大紀元記者楊帆澳洲悉尼編譯報導)澳洲退休基金(Australian Super)沒有使用多因素身分驗證(MFA)來保護其用戶帳戶,在黑客掠奪了數十萬澳元的退休儲蓄後,該基金正面臨與其他基金一起被金融監管機構處以巨額罰款的風險。
澳洲退休基金(AustralianSuper)、澳洲退休信託基金(Australian Retirement Trust)、Hostplus 和 Rest 基金,代表著數百萬澳洲人管理著近1萬億澳元的儲蓄,成為這次黑客協同攻擊的目標
AustralianSuper的四名客戶在這次攻擊中損失了50萬澳元,儘管該基金向那些在個人資料上看到「0 澳元餘額」的客戶保證,他們的帳戶是安全的。
據澳洲人報網站報導,黑客通過一種被稱為「憑據填充」的方法進入了這些帳戶,這種方法涉及使用被盜的用戶名和密碼(其中一些來自以前的網絡攻擊),這些用戶名和密碼已經在暗網上流傳。
攻擊者利用了人們經常在不同帳戶中重複使用相同密碼的事實,但採用多因素身分驗證的公司可以更有效地防禦此類攻擊。
但是,Australian Super告訴客戶,它沒有採用多因素身分驗證,預計將在未來12-18個月內部署這種安全措施。
網絡安全合作研究中心(Cyber Security Cooperative Research Centre)前政策主管、現任Akin Agency 戰略主管的布朗(Anne-Louise Brown)表示,退休基金可能會面臨澳洲審慎監管局(APRA)的處罰。
這些處罰包括巨額罰款和加強數字防禦的其他措施。
布朗女士說:「如果發現沒有採取足夠的消費者網絡安全保護措施,這些公司可能會面臨重大的經濟處罰。」
事實上,在2022年黑客入侵Medibank的客戶數據庫後,多達970萬澳洲人的個人資料和健康記錄被公布在暗網上,APRA迫使該健康基金撥出2.5億澳元作為「保險金」。
監管機構稱,處罰反映了其在Medibank信息安全環境中發現的「薄弱環節」。
「金融服務行業在網絡安全方面受到嚴格監管,」布朗說。
「他們不僅需要根據關鍵基礎設施制度採取合理措施保護其數據,還承擔著APRA規定的義務」。
布朗稱,澳洲人的變化也意味著退休基金正在獲取更多的個人數據,增加了身分盜竊和金融犯罪的風險,在最近的黑客攻擊事件後,他們可能會被迫支付巨額罰款。
布朗強調說:「就澳洲的關鍵基礎設施制度而言,退休基金是獨一無二的,因為它們被歸類為關鍵基礎設施,但通過投資,它們也是關鍵基礎設施的所有者和運營者。
對《關鍵基礎設施安全法》的修改也意味著收集個人數據也被納入了立法範疇,而以前並不是這樣。
「雖然還需要一段時間才能揭開安全漏洞的全部規模和發生方式,但敏感的個人財務數據可能被泄露令人擔憂。因此,受害者需要警惕身分盜竊和欺詐的風險。」
美國身分驗證巨頭Okta公司的地區首席安全官溫特福德(Brett Winterford)說,憑證填充已成為針對任何提供在線訪問帳戶方式的公司最常見的攻擊形式
「當我們看到類似的大規模攻擊時,為用戶註冊了多因素身分驗證的退休基金的情況要好得多。」溫特福德說:「即使攻擊者的編碼與憑證成功匹配,攻擊者仍需嘗試繞過多因素身分驗證挑戰才能訪問用戶帳戶。」
溫特福德說:「實際情況是,很多消費者不願意註冊多因素身分驗證來登錄,即使是訪問像退休基金這樣重要的網站,所以基金有時需要依賴補償性(額外)控制。」
溫特福德承認多因素身分驗證也不是萬能的,因此公司和客戶都不應該對使用多因素身分驗證存有戒心。
「一旦用戶註冊成功,安全團隊就可以根據自己的需要做加減。他們可以選擇在登錄時提示用戶,或者只在用戶從新的地點或設備登錄時提示用戶,或者只在授權交易或更改帳戶時提示用戶。」
他說,安全團隊還可以啟用和執行機器賬號檢測。像Auth0這樣的服務使用機器學習算法,在檢測到請求可能是來自機器時提出驗證碼挑戰。
另一種使多因素身分驗證更簡化的方法是使用可阻止或訪問已知被破解密碼的服務。
「這些功能將註冊或登錄與數十億個已知被破解的用戶名和密碼列表進行比較。企業可以決定阻止用戶使用其中一個密碼註冊帳戶。」
責任編輯:李子吟
了解更多澳洲即時要聞及生活資訊,請點擊 dajiyuan.com.au
(本文未經許可不得轉載或建立鏡像網站)
