澳洲私人健康保險公司Medibank在其私人網路被成功駭客攻擊時，沒有實施多因素認證保護，新的法庭文件中提出了這項指控。澳洲資訊專員辦公室（OAIC）指控，Medibank缺乏多因素認證導致了2022年近970萬現有和以前客戶資料的外洩。

在週一提交給聯邦法院的文件中，OAIC指控這一大規模資料外洩源自Medibank承包商的一名員工——一名IT服務台操作員，他將自己的登入詳情保存在工作電腦上安裝的個人網路瀏覽器中。當他隨後在個人電腦上登入其網路瀏覽器時，這些憑證被同步到了該裝置上。 2022年8月7日左右，這些詳情透過惡意軟體從他的個人電腦被盜，竊盜者隨後能夠存取Medibank的Microsoft Exchange伺服器和虛擬專用網路（VPN）。法庭文件稱：「Global Protect VPN不需要兩種或更多的身份證明或多因素認證（MFA）。」「相反，Medibank的Global Protect VPN配置為只需要設備證書，或用戶名和密碼（如Medibank憑證）即可。

OAIC指控Medibank違反了隱私權法的若干條款，未採取足夠措施保護其持有的客戶敏感資訊。在2018年和2020年，Medibank被告知其網路安全存在漏洞和脆弱性，包括「關於不安全或弱密碼要求的缺陷」。 Datacom在2020年的一份單獨報告發現，「許多個人被賦予執行簡單日常程序的過多權限，而且未為擁有特權和非特權用戶啟用MFA，這被描述為『關鍵』缺陷」。

新南威爾斯大學的網路安全專家理查德·巴克蘭（Richard Buckland）描述了起訴文件中的指控為「令人震驚」。他表示，據稱從同步的IT工作人員的個人電腦存取的登入詳情似乎只是接下來發生事件的「直接原因」。

ABC NEWS, Medibank faces $21 trillion fine in a cybersecurity test case(Kirsten Aitken)