Kentucky Ansattes helseplan legger skylden for det siste bruddet på data om gjenbruk av passord
Kentucky Ansattes Health Plan (KEHP), en organisasjon som tilbyr helseforsikring til mer enn en firedel av en million medlemmer, har inngått et samarbeid med StayWell, et enkelt å følge nettprogram som skal inspirere folk til en sunnere livsstil. KEHP-medlemmer får konkrete tips om hvordan de kan forbedre deres fysiske velvære, og hvis de følger dem nøye, kan de til og med få økonomiske belønninger i form av gavekort. Hvis bare det var et lignende program designet for å forbedre ferdighetene for passordadministrasjon.
Forrige uke kunngjorde personalkabinettet i Kentucky at KEHP-medlemmene ikke er blitt målrettet av én, men to nettangrep. Vi bør påpeke fra begynnelsen at vi ikke snakker om den største cybersikkerhetshendelsen vi noen gang har sett. Totalt ble færre enn 1000 av KEHPs 265 tusen medlemmer berørt, og selv om angriperne klarte å få tilgang til noen helsevurderingsdata, kunne de ikke få tak i for mye personlig eller økonomisk informasjon. Når det er sagt, klarte kriminelle å gjøre opp med til sammen 107 000 dollar i gavekort, noe som ikke er ubetydelig, spesielt når du vurderer hvor enkelt det var å organisere angrepet.
KEHP-medlemmer falt ofre for et legitimt utstoppingsangrep
Cyberkriminelle slo første gang 21. april, og operasjonen deres fortsatte de neste seks dagene. I løpet av denne perioden kompromitterte hackerne regnskapet til 971 KEHP-medlemmer på StayWell-programmet. Når de var inne klarte de å innløse til sammen 100 000 dollar gavekort.
En undersøkelse avdekket at kontoene fikk tilgang til ved hjelp av gyldige innloggingsinformasjon, og angivelig fikk angriperen brukernavn og passord fra et ikke relatert datainnbrudd. Cyberkriminelle organiserte et legitimasjonsstoppangrep og håpet at KEHP-medlemmer ville gjenbruke det samme passordet på tvers av flere tjenester. Sikkert nok, gamble deres lønnet seg godt. Men de var ikke ferdige.
Hvis den gjenbrukes en gang, blir den gjenbrukt to ganger
12. mai bestemte angriperne seg for å se hvor dårlige KEHP-medlemmers gjenbruk av passord er. De satte inn et annet legitimasjonsstoppningsangrep, men denne gangen siktet de det mot Commonwealth e-postkontoer til medlemmene som ble berørt av aprilbrudd. Angrepet fungerte på 42 av de 971 målrettede kontoene, som kanskje ikke virker som mye, men det resulterte likevel i uredelig innløsning av ytterligere 7 700 dollar gavekort.
I følge Lexington Herald-Leader, etter det første angrepet, trakk StayWell nettstedet for å forbedre sikkerheten, og Kentucky personalkabinett sa på Twitter at det ikke vil være tilbake før 30. juni. Vi har ennå ikke sett hva slags av funksjoner som den planlegger å introdusere, men det er rimelig å si at med mindre folk får vite hvor farlig det er å bruke det samme passordet på tvers av flere tjenester, vil det være ekstremt vanskelig å beskytte dem mot legitimasjonsstoppangrep.
