ケンタッキー州の従業員の健康計画は、パスワードの再利用に関する最新のデータ違反を非難している
25万人以上のメンバーに健康保険を提供している組織であるケンタッキー州従業員の健康計画(KEHP)は、人々がより健康的なライフスタイルを持つように刺激することになっている、わかりやすいオンラインプログラムであるStayWellと提携しています。 。 KEHPメンバーには、身体的な健康を改善する方法に関する具体的なヒントが与えられます。メンバーをしっかりとフォローすると、ギフトカードの形で経済的報酬を受け取ることもできます。パスワード管理スキルを向上させるために設計された同様のプログラムがあった場合のみです。
先週、ケンタッキー州人事キャビネットは、KEHPメンバーが1つではなく2つのサイバー攻撃の標的にされたと発表しました。私たちは、これまでに見た最大のサイバーセキュリティインシデントについて話しているのではないことを最初から指摘する必要があります。 KEHPの265千人のメンバーのうち合計で1,000人未満が影響を受け、攻撃者はなんらかの健康評価データにアクセスできましたが、個人情報や財務情報を手に入れることはできませんでした。とは言え、犯罪者はなんとかして合計10万7千ドルのギフトカードで成功を収めましたが、特に攻撃の整理がいかに簡単であるかを考えると、それは重要ではありません。
KEHPメンバーは、資格情報の詰め込み攻撃の犠牲者となりました
サイバー犯罪者は4月21日に最初に襲撃し、彼らの活動は次の6日間続きました。その期間中、ハッカーはStayWellプログラムで971人のKEHPメンバーのアカウントを侵害しました。彼らが中に入ると、合計10万ドル相当のギフトカードをなんとか引き換えました。
調査の結果、有効なログイン認証情報を使用してアカウントにアクセスされたことが判明し、攻撃者は無関係のデータ侵害からユーザー名とパスワードを入手したようです。サイバー犯罪者は資格情報の詰め込み攻撃を組織し、 KEHPメンバーが複数のサービスで同じパスワードを再利用することを期待していました。案の定、彼らのギャンブルは見事に報われました。しかし、それらは行われませんでした。
1回再利用すると2回再利用されます
5月12日、攻撃者はKEHPメンバーのパスワード再利用の習慣がいかに悪いかを確認することを決定しました。彼らは2回目のクレデンシャルスタッフィング攻撃を仕掛けましたが、今回は4月の違反の影響を受けたメンバーの連邦電子メールアカウントを狙った攻撃です。この攻撃は971のターゲットアカウントのうち42を対象としており、これはそれほど多くはないように思われますが、それでも$ 7,700相当のギフトカードを不正に利用することになりました。
よるとレキシントンヘラルドリーダー 、最初の攻撃の後、StayWellはそのセキュリティを向上させるために、ウェブサイトを引き下げ、ケンタッキー人事内閣の言ったことが6月30日まで、私たちはどのような種類を見ていました戻ってないことをTwitterで導入予定の機能の1つですが、同じパスワードを複数のサービスで再利用することがどれほど危険かを人々が理解しない限り、資格情報の詰め込み攻撃から保護することは非常に困難です。