Le plan de santé des employés du Kentucky blâme la dernière violation de données sur la réutilisation des mots de passe

Le Kentucky Employees 'Health Plan (KEHP), une organisation qui offre une assurance maladie à plus d'un quart de million de membres, s'est associé à StayWell, un programme en ligne facile à suivre qui est censé inspirer les gens à adopter un mode de vie plus sain.. Les membres du KEHP reçoivent des conseils spécifiques sur la façon d'améliorer leur bien-être physique et s'ils les suivent de près, ils peuvent même obtenir des récompenses financières sous forme de cartes-cadeaux. Si seulement il y avait un programme similaire conçu pour améliorer leurs compétences en gestion de mots de passe.

La semaine dernière, le Kentucky Personnel Cabinet a annoncé que les membres du KEHP avaient été ciblés non pas par une, mais par deux cyberattaques. Nous devons souligner d'emblée que nous ne parlons pas du plus gros incident de cybersécurité que nous ayons jamais vu. Au total, moins de 1 000 des 265 000 membres du KEHP ont été touchés, et bien que les attaquants aient réussi à accéder à certaines données d'évaluation de la santé, ils n'ont pas pu mettre la main sur trop d'informations personnelles ou financières. Cela dit, les criminels ont réussi à s'en sortir avec un total de 107 000 $ en cartes-cadeaux, ce qui n'est pas anodin, surtout si l'on considère la facilité avec laquelle il a été possible d'organiser l'attaque.

Des membres du KEHP sont victimes d'une attaque de bourrage de justificatifs d'identité

Les cybercriminels ont frappé pour la première fois le 21 avril et leurs opérations se sont poursuivies pendant les six jours suivants. Au cours de cette période, les pirates ont compromis les comptes de 971 membres du KEHP du programme StayWell. Une fois à l'intérieur, ils ont réussi à échanger un total de 100 000 $ de cartes-cadeaux.

Une enquête a révélé que les comptes étaient accessibles à l'aide d'informations d'identification valides et, apparemment, l'attaquant a obtenu les noms d'utilisateur et les mots de passe d'une violation de données non liée. Les cybercriminels ont organisé une attaque de bourrage d'informations d'identification et espéraient que les membres du KEHP réutiliseraient le même mot de passe sur plusieurs services. Effectivement, leur pari a été largement payant. Mais ils n'ont pas fini.

S'il est réutilisé une fois, il sera réutilisé deux fois

Le 12 mai, les attaquants ont décidé de voir à quel point les habitudes de réutilisation des mots de passe des membres du KEHP étaient mauvaises. Ils ont monté une deuxième attaque de bourrage d'informations d'identification, mais cette fois, ils l'ont dirigée vers les comptes de messagerie du Commonwealth des membres touchés par la violation d'avril. L'attaque a fonctionné sur 42 des 971 comptes ciblés, ce qui peut ne pas sembler beaucoup, mais elle a quand même entraîné le rachat frauduleux de 7 700 $ de cartes-cadeaux supplémentaires.

Selon Lexington Herald-Leader, après la première attaque, StayWell a supprimé le site Web afin d'améliorer sa sécurité, et le Kentucky Personnel Cabinet a déclaré sur Twitter qu'il ne reviendrait pas avant le 30 juin. Nous n'avons pas encore vu de quel type des fonctionnalités qu'il prévoit d'introduire, mais il est juste de dire qu'à moins que les gens apprennent à quel point il est dangereux de réutiliser le même mot de passe sur plusieurs services, les protéger contre les attaques de bourrage d'informations d'identification sera extrêmement difficile.