Kentucky-medarbejderes sundhedsplan beskylder det nyeste brud på data ved brug af adgangskode

Kentucky medarbejderes sundhedsplan (KEHP), en organisation, der tilbyder sundhedsforsikring til mere end en fjerdedel af en million medlemmer, har samarbejdet med StayWell, et let at følge online-program, der skal inspirere folk til en sundere livsstil. KEHP-medlemmer får specifikke tip til, hvordan man forbedrer deres fysiske velvære, og hvis de følger dem nøje, kan de endda få økonomiske fordele i form af gavekort. Hvis der kun var et lignende program designet til at forbedre deres adgangskodehåndteringsevner.

I sidste uge annoncerede Kentucky-personalkabinettet, at KEHP-medlemmer ikke er blevet målrettet af én, men to cyberangreb. Vi skal understrege fra starten, at vi ikke taler om den største cybersikkerhedshændelse, vi nogensinde har set. I alt blev færre end 1.000 af KEHPs 265.000 medlemmer berørt, og selv om angribere formåede at få adgang til nogle sundhedsvurderingsdata, kunne de ikke få deres hænder på for meget personlige eller økonomiske oplysninger. Når det er sagt, lykkedes det kriminelle at klare sig med i alt 107 tusind dollars i gavekort, hvilket ikke er ubetydeligt, især når du overvejer, hvor let det var at organisere angrebet.

KEHP-medlemmer faldt ofre for et legitimt udstoppningsangreb

Cyberkriminelle ramte først den 21. april, og deres operationer fortsatte i de næste seks dage. I løbet af denne periode kompromitterede hackerne konti for 971 KEHP-medlemmer ved StayWell-programmet. Når de var inde, formåede de at indløse i alt $ 100 tusind gavekort.

En undersøgelse afslørede, at der blev åbnet konti ved hjælp af gyldige loginoplysninger, og angriberen fik tilsyneladende brugernavne og adgangskoder fra en ikke-relateret dataovertrædelse. Cyberkriminelle organiserede et legitimationsudstoppningsangreb og håbede, at KEHP-medlemmer ville genbruge den samme adgangskode på tværs af flere tjenester. Sikkert nok, deres gamble betalte sig flot. De var dog ikke færdige.

Hvis den genbruges en gang, genanvendes den to gange

Den 12. maj besluttede angriberne at se, hvor dårlige KEHP-medlemmers genvaner med adgangskode er. De monterede et andet legitimationsudstoppningsangreb, men denne gang sigtede de det mod Commonwealth e-mail-konti for de medlemmer, der var berørt af april's overtrædelse. Angrebet arbejdede på 42 af de 971 målrettede konti, hvilket muligvis ikke ser ud til at være meget, men det resulterede stadig i falske indløsninger af yderligere $ 7.700 gavekort.

Ifølge Lexington Herald-Leader trak StayWell webstedet ned efter det første angreb for at forbedre dets sikkerhed, og Kentucky Personalkabinettet sagde på Twitter, at det ikke vil være tilbage før 30. juni. Vi har endnu ikke se, hvilken slags af funktioner, den har planer om at introducere, men det er rimeligt at sige, at medmindre folk lærer, hvor farligt det er at genbruge den samme adgangskode på tværs af flere tjenester, vil det være ekstremt hårdt at beskytte dem mod legitimationsstoppningsangreb.