El plan de salud de los empleados de Kentucky atribuye la última violación de datos a la reutilización de contraseñas
El Kentucky Employees 'Health Plan (KEHP), una organización que ofrece seguro de salud a más de un cuarto de millón de miembros, se ha asociado con StayWell, un programa en línea fácil de seguir que se supone que inspira a las personas a tener un estilo de vida más saludable. Los miembros de KEHP reciben consejos específicos sobre cómo mejorar su bienestar físico, y si los siguen de cerca, incluso pueden obtener recompensas financieras en forma de tarjetas de regalo. Si solo hubiera un programa similar diseñado para mejorar sus habilidades de administración de contraseñas.
La semana pasada, el Gabinete de Personal de Kentucky anunció que los miembros de KEHP han sido atacados no por uno, sino por dos ataques cibernéticos. Desde el principio, debemos señalar que no estamos hablando del mayor incidente de ciberseguridad que hayamos visto. En total, menos de 1,000 de los 265 mil miembros de KEHP se vieron afectados, y aunque los atacantes lograron acceder a algunos datos de evaluación de salud, no pudieron obtener demasiada información personal o financiera. Dicho esto, los delincuentes lograron ganar con un total de $ 107 mil en tarjetas de regalo, lo cual no es insignificante, especialmente cuando se considera lo fácil que fue organizar el ataque.
Los miembros de KEHP fueron víctimas de un ataque de relleno de credenciales
Los ciberdelincuentes atacaron por primera vez el 21 de abril y sus operaciones continuaron durante los siguientes seis días. Durante ese período, los piratas informáticos comprometieron las cuentas de 971 miembros de KEHP en el programa StayWell. Una vez dentro, lograron canjear un total de $ 100 mil en tarjetas de regalo.
Una investigación reveló que se accedió a las cuentas utilizando credenciales de inicio de sesión válidas y, aparentemente, el atacante obtuvo los nombres de usuario y las contraseñas de una violación de datos no relacionada. Los ciberdelincuentes organizaron un ataque de relleno de credenciales y esperaban que los miembros de KEHP reutilizaran la misma contraseña en múltiples servicios. Efectivamente, su apuesta valió la pena generosamente. Sin embargo, no habían terminado.
Si se reutiliza una vez, se reutilizará dos veces
El 12 de mayo, los atacantes decidieron ver cuán malos son los hábitos de reutilización de contraseñas de los miembros de KEHP. Montaron un segundo ataque de relleno de credenciales, pero esta vez, lo apuntaron a las cuentas de correo electrónico de la Commonwealth de los miembros afectados por la violación de April. El ataque funcionó en 42 de las 971 cuentas específicas, lo que puede no parecer mucho, pero aún así resultó en el canje fraudulento de otras tarjetas de regalo por valor de $ 7,700.
Según Lexington Herald-Leader, después del primer ataque, StayWell retiró el sitio web para mejorar su seguridad, y Kentucky Personnel Cabinet's dijo en Twitter que no volverá hasta el 30 de junio. Todavía tenemos que ver qué tipo de características que planea presentar, pero es justo decir que a menos que las personas sepan lo peligroso que es reutilizar la misma contraseña en múltiples servicios, será extremadamente difícil protegerlos contra ataques de relleno de credenciales.
