Il piano sanitario dei dipendenti del Kentucky sta incolpando l'ultima violazione dei dati sul riutilizzo della password

Il Kentucky Health Employees 'Plan (KEHP), un'organizzazione che offre assicurazioni sanitarie a oltre un quarto di milione di membri, ha stretto una partnership con StayWell, un programma online facile da seguire che dovrebbe ispirare le persone ad avere uno stile di vita più sano. Ai membri di KEHP vengono forniti suggerimenti specifici su come migliorare il loro benessere fisico e, se li seguono da vicino, possono persino ottenere ricompense finanziarie sotto forma di buoni regalo. Se solo ci fosse un programma simile progettato per migliorare le loro capacità di gestione delle password.

La scorsa settimana, il Gabinetto del personale del Kentucky ha annunciato che i membri del KEHP sono stati presi di mira non da uno, ma da due attacchi informatici. Dovremmo sottolineare fin dall'inizio che non stiamo parlando del più grande incidente di sicurezza informatica che abbiamo mai visto. In totale, meno di 1.000 dei 265 mila membri di KEHP sono stati colpiti e, sebbene gli aggressori siano riusciti ad accedere ad alcuni dati di valutazione della salute, non sono riusciti a mettere troppe informazioni personali o finanziarie. Detto questo, i criminali sono riusciti a guadagnare con un totale di $ 107 mila in buoni regalo, il che non è insignificante, soprattutto se si considera quanto sia stato facile organizzare l'attacco.

I membri del KEHP sono caduti vittime di un attacco di riempimento delle credenziali

I criminali informatici colpirono per la prima volta il 21 aprile e le loro operazioni continuarono per i sei giorni successivi. Durante quel periodo, gli hacker hanno compromesso gli account di 971 membri di KEHP nel programma StayWell. Una volta dentro, sono riusciti a riscattare un totale di $ 100 mila di buoni regalo.

Un'indagine ha rivelato che gli account erano accessibili utilizzando credenziali di accesso valide e, a quanto pare, l'attaccante ha ottenuto i nomi utente e le password da una violazione dei dati non correlata. I criminali informatici hanno organizzato un attacco di riempimento delle credenziali e speravano che i membri di KEHP avrebbero riutilizzato la stessa password su più servizi. Abbastanza sicuro, la loro scommessa è stata pagata profumatamente. Non avevano ancora finito.

Se viene riutilizzato una volta, verrà riutilizzato due volte

Il 12 maggio, gli aggressori hanno deciso di vedere quanto siano cattive le abitudini di riutilizzo della password dei membri KEHP. Hanno montato un secondo attacco di riempimento delle credenziali, ma questa volta lo hanno indirizzato agli account di posta elettronica del Commonwealth dei membri colpiti dalla violazione di aprile. L'attacco ha funzionato su 42 dei 971 account mirati, che potrebbero non sembrare molto, ma ha comunque portato al rimborso fraudolento di ulteriori $ 7,700 di carte regalo.

Secondo Lexington Herald-Leader, dopo il primo attacco, StayWell ha abbattuto il sito Web per migliorare la sua sicurezza e il personale del Kentucky ha dichiarato su Twitter che non tornerà fino al 30 giugno. Dobbiamo ancora vedere di che tipo delle funzionalità che prevede di introdurre, ma è giusto affermare che se le persone non imparano quanto sia pericoloso riutilizzare la stessa password su più servizi, proteggerle dagli attacchi di riempimento delle credenziali sarà estremamente difficile.