Der Gesundheitsplan der Mitarbeiter in Kentucky gibt der Wiederverwendung von Passwörtern die Schuld an der neuesten Datenverletzung
Der Kentucky Employees 'Health Plan (KEHP), eine Organisation, die mehr als einer Viertelmillion Mitgliedern Krankenversicherungen anbietet, hat sich mit StayWell zusammengetan, einem einfach zu verfolgenden Online-Programm, das Menschen zu einem gesünderen Lebensstil inspirieren soll. KEHP-Mitglieder erhalten spezielle Tipps zur Verbesserung ihres körperlichen Wohlbefindens. Wenn sie diese genau befolgen, können sie sogar finanzielle Belohnungen in Form von Geschenkkarten erhalten. Wenn es nur ein ähnliches Programm gäbe, das ihre Fähigkeiten zur Passwortverwaltung verbessern soll.
Letzte Woche gab das Kentucky Personnel Cabinet bekannt, dass KEHP-Mitglieder nicht nur von einem, sondern von zwei Cyberangriffen angegriffen wurden. Wir sollten von Anfang an darauf hinweisen, dass es sich nicht um den größten Cybersicherheitsvorfall handelt, den wir je gesehen haben. Insgesamt waren weniger als 1.000 der 265.000 KEHP-Mitglieder betroffen, und obwohl die Angreifer auf einige Daten zur Gesundheitsbewertung zugreifen konnten, konnten sie nicht auf zu viele persönliche oder finanzielle Informationen zugreifen. Abgesehen davon gelang es den Kriminellen, mit Geschenkkarten im Wert von insgesamt 107.000 US-Dollar davonzukommen, was nicht unerheblich ist, insbesondere wenn man bedenkt, wie einfach es war, den Angriff zu organisieren.
KEHP-Mitglieder fielen einem Stuffing-Angriff zum Opfer
Die Cyberkriminellen trafen am 21. April zum ersten Mal und ihre Operationen wurden für die nächsten sechs Tage fortgesetzt. Während dieser Zeit haben die Hacker die Konten von 971 KEHP-Mitgliedern beim StayWell-Programm kompromittiert. Sobald sie drinnen waren, gelang es ihnen, Geschenkkarten im Wert von insgesamt 100.000 US-Dollar einzulösen.
Eine Untersuchung ergab, dass auf die Konten mit gültigen Anmeldeinformationen zugegriffen wurde, und anscheinend hat der Angreifer die Benutzernamen und Kennwörter von einem nicht verwandten Datenverstoß erhalten. Die Cyberkriminellen organisierten einen Angriff zum Ausfüllen von Anmeldeinformationen und hofften, dass KEHP-Mitglieder dasselbe Passwort für mehrere Dienste wiederverwenden würden. Sicher genug, ihr Glücksspiel hat sich gut ausgezahlt. Sie waren jedoch noch nicht fertig.
Wenn es einmal wiederverwendet wird, wird es zweimal wiederverwendet
Am 12. Mai beschlossen die Angreifer zu sehen, wie schlecht die Gewohnheiten der KEHP-Mitglieder bei der Wiederverwendung von Passwörtern sind. Sie haben einen zweiten Angriff zum Ausfüllen von Anmeldeinformationen gestartet, diesmal jedoch auf die Commonwealth-E-Mail-Konten der Mitglieder, die von der Verletzung im April betroffen waren. Der Angriff wirkte sich auf 42 der 971 Zielkonten aus, was vielleicht nicht viel zu sein scheint, aber dennoch zur betrügerischen Einlösung weiterer Geschenkkarten im Wert von 7.700 USD führte.
Nach Lexington Herald-Leader, nach dem ersten Angriff, die Website Staywell, um die Sicherheit zu verbessern, nach unten gezogen, und Kentucky Personal Kabinetts sagte auf Twitter, dass es nicht bis zum 30. Juni wieder werden wir noch haben, um zu sehen, welche Art von Funktionen, die eingeführt werden sollen, aber es ist fair zu sagen, dass es äußerst schwierig sein wird, sie vor Angriffen mit Anmeldeinformationen zu schützen, wenn die Leute nicht erfahren, wie gefährlich es ist, dasselbe Kennwort über mehrere Dienste hinweg wiederzuverwenden.
