【大纪元2025年04月05日讯】(大纪元记者杨帆澳洲悉尼编译报导)澳洲退休基金(Australian Super)没有使用多因素身份验证(MFA)来保护其用户账户,在黑客掠夺了数十万澳元的退休储蓄后,该基金正面临与其他基金一起被金融监管机构处以巨额罚款的风险。
澳洲退休基金(AustralianSuper)、澳洲退休信托基金(Australian Retirement Trust)、Hostplus 和 Rest 基金,代表着数百万澳洲人管理着近1万亿澳元的储蓄,成为这次黑客协同攻击的目标
AustralianSuper的四名客户在这次攻击中损失了50万澳元,尽管该基金向那些在个人资料上看到“0 澳元余额”的客户保证,他们的账户是安全的。
据澳洲人报网站报导,黑客通过一种被称为“凭据填充”的方法进入了这些账户,这种方法涉及使用被盗的用户名和密码(其中一些来自以前的网络攻击),这些用户名和密码已经在暗网上流传。
攻击者利用了人们经常在不同账户中重复使用相同密码的事实,但采用多因素身份验证的公司可以更有效地防御此类攻击。
但是,Australian Super告诉客户,它没有采用多因素身份验证,预计将在未来12-18个月内部署这种安全措施。
网络安全合作研究中心(Cyber Security Cooperative Research Centre)前政策主管、现任Akin Agency 战略主管的布朗(Anne-Louise Brown)表示,退休基金可能会面临澳洲审慎监管局(APRA)的处罚。
这些处罚包括巨额罚款和加强数字防御的其他措施。
布朗女士说:“如果发现没有采取足够的消费者网络安全保护措施,这些公司可能会面临重大的经济处罚。”
事实上,在2022年黑客入侵Medibank的客户数据库后,多达970万澳洲人的个人资料和健康记录被公布在暗网上,APRA迫使该健康基金拨出2.5亿澳元作为“保险金”。
监管机构称,处罚反映了其在Medibank信息安全环境中发现的“薄弱环节”。
“金融服务行业在网络安全方面受到严格监管,”布朗说。
“他们不仅需要根据关键基础设施制度采取合理措施保护其数据,还承担着APRA规定的义务”。
布朗称,澳洲人的变化也意味着退休基金正在获取更多的个人数据,增加了身份盗窃和金融犯罪的风险,在最近的黑客攻击事件后,他们可能会被迫支付巨额罚款。
布朗强调说:“就澳洲的关键基础设施制度而言,退休基金是独一无二的,因为它们被归类为关键基础设施,但通过投资,它们也是关键基础设施的所有者和运营者。
对《关键基础设施安全法》的修改也意味着收集个人数据也被纳入了立法范畴,而以前并不是这样。
“虽然还需要一段时间才能揭开安全漏洞的全部规模和发生方式,但敏感的个人财务数据可能被泄露令人担忧。因此,受害者需要警惕身份盗窃和欺诈的风险。”
美国身份验证巨头Okta公司的地区首席安全官温特福德(Brett Winterford)说,凭证填充已成为针对任何提供在线访问账户方式的公司最常见的攻击形式
“当我们看到类似的大规模攻击时,为用户注册了多因素身份验证的退休基金的情况要好得多。”温特福德说:“即使攻击者的编码与凭证成功匹配,攻击者仍需尝试绕过多因素身份验证挑战才能访问用户账户。”
温特福德说:“实际情况是,很多消费者不愿意注册多因素身份验证来登录,即使是访问像退休基金这样重要的网站,所以基金有时需要依赖补偿性(额外)控制。”
温特福德承认多因素身份验证也不是万能的,因此公司和客户都不应该对使用多因素身份验证存有戒心。
“一旦用户注册成功,安全团队就可以根据自己的需要做加减。他们可以选择在登录时提示用户,或者只在用户从新的地点或设备登录时提示用户,或者只在授权交易或更改账户时提示用户。”
他说,安全团队还可以启用和执行机器账号检测。像Auth0这样的服务使用机器学习算法,在检测到请求可能是来自机器时提出验证码挑战。
另一种使多因素身份验证更简化的方法是使用可阻止或访问已知被破解密码的服务。
“这些功能将注册或登录与数十亿个已知被破解的用户名和密码列表进行比较。企业可以决定阻止用户使用其中一个密码注册账户。”
责任编辑:李子吟
了解更多澳洲即时要闻及生活资讯,请点击 dajiyuan.com.au
(本文未经许可不得转载或建立镜像网站)
