A Kentucky Munkavállalók Egészségügyi Terve a jelszó újbóli felhasználásával kapcsolatos legfrissebb adatok megsértéséért felelős
A Kentucky Munkavállalók Egészségügyi Terve (KEHP), egy olyan szervezet, amely több mint negyedmillió tagnak nyújt egészségbiztosítást, társult a StayWell-rel, egy könnyen követhető online programmal, amelynek állítólag ösztönöznie kell az embereket egészségesebb életmódra. A KEHP tagjai konkrét tippeket kapnak fizikai jólétük javítására, és ha szorosan követik őket, akkor akár pénzügyi jutalmat is kaphatnak ajándékkártyák formájában. Ha csak lenne egy hasonló program, amelynek célja a jelszókezelési készségek fejlesztése.
A múlt héten a Kentucky Személyzeti kabinet bejelentette, hogy a KEHP tagjait nem egy, hanem két kibertámadás célozta meg. A kezdetektől ki kell emelnünk, hogy nem a legnagyobb kiberbiztonsági eseményről beszélünk, amelyet valaha láttunk. Összességében a KEHP 265 ezer tagjának kevesebb mint 1000 érintette őket, és bár a támadóknak sikerült hozzáférniük bizonyos egészségügyi értékelési adatokhoz, nem tudtak túl sok személyes vagy pénzügyi információt megszerezni. Ennek ellenére a bűnözőknek összesen 107 ezer dollár ajándékkártyát sikerült befizetniük, ami nem jelentéktelen, különösen, ha figyelembe vesszük, mennyire könnyű volt támadást megszervezni.
A KEHP tagjai hitelesítő adatokkal kitöltött támadás áldozatává váltak
A számítógépes bűnözők először április 21-én csaptak le, és a következő hat napig folytattak műveleteket. Ebben az időszakban a hackerek 971 KEHP-tag számláját veszélyeztették a StayWell programban. Miután beléptek, összesen 100 ezer dollár értékű ajándékkártyát tudtak beváltani.
Egy vizsgálat során kiderült, hogy a fiókokhoz érvényes bejelentkezési hitelesítő adatokkal fértek hozzá, és nyilvánvalóan a támadó a felhasználóneveket és jelszavakat egy független adatsértésből kapta meg. A kiberbűnözők hitelesítő adatokkal töltött támadást szerveztek, és remélték, hogy a KEHP tagjai ugyanazt a jelszót több szolgáltatásra használják fel. Persze, hogy a szerencsejáték jól megtérült. De nem végezték el őket.
Ha egyszer újra felhasználják, akkor kétszer ismét felhasználják
Május 12-én a támadók úgy döntöttek, hogy megtudják, mennyire rosszak a KEHP tagjai jelszavainak újbóli felhasználási szokásai. Felállítottak egy második hitelesítő adatot kitöltő támadást, de ezúttal az április megsértése által érintett tagok Commonwealth e-mail fiókjaira irányultak. A támadás a 971 célzott számla 42-én működött, ami talán nem tűnik túl soknak, ám ennek eredményeként újabb 7700 dolláros értékű ajándékkártya csalárd módon váltott vissza.
Szerint a Lexington Herald-Leader, miután az első támadást, Staywell húzta le a honlapot annak érdekében, hogy javítsa a biztonságot, és a Kentucky Személyzeti kabinet azt mondta, a Twitter, hogy nem jön vissza június 30-ig már nem látni, milyen a bevezetni tervezett funkciók közül, de tisztességes azt mondani, hogy ha az emberek megtanulják, mennyire veszélyes ugyanazt a jelszót több szolgáltatásban ismételten felhasználni, akkor rendkívül nehéz lesz megvédeni őket a hitelesítő adatok kitöltése elleni támadásokkal szemben.