Het gezondheidsplan van de werknemers van Kentucky geeft de schuld aan de nieuwste gegevensinbreuk op hergebruik van wachtwoorden

Het Kentucky Employee 'Health Plan (KEHP), een organisatie die meer dan een kwart miljoen leden een ziektekostenverzekering aanbiedt, is een partnerschap aangegaan met StayWell, een eenvoudig te volgen online programma dat mensen zou moeten inspireren tot een gezondere levensstijl. KEHP-leden krijgen specifieke tips over hoe ze hun fysieke welzijn kunnen verbeteren, en als ze hen nauwlettend volgen, kunnen ze zelfs financiële beloningen krijgen in de vorm van cadeaubonnen. Was er maar een soortgelijk programma dat was ontworpen om hun vaardigheden op het gebied van wachtwoordbeheer te verbeteren.

Vorige week maakte het Kentucky Personnel Cabinet bekend dat niet één, maar twee cyberaanvallen op KEHP-leden zijn gericht. We moeten er vanaf het begin op wijzen dat we het niet hebben over het grootste cybersecurity-incident dat we ooit hebben gezien. In totaal werden minder dan 1.000 van KEHP's 265 duizend leden getroffen, en hoewel de aanvallers erin slaagden toegang te krijgen tot bepaalde gezondheidsanalysegegevens, konden ze niet te veel persoonlijke of financiële informatie bemachtigen. Dat gezegd hebbende, slaagden criminelen erin om in totaal $ 107 duizend aan cadeaubonnen te verdienen, wat niet onbelangrijk is, vooral als je bedenkt hoe gemakkelijk het was om de aanval te organiseren.

KEHP-leden werden het slachtoffer van een aanvalsaanval

De cybercriminelen sloegen voor het eerst toe op 21 april en hun activiteiten duurden de komende zes dagen. In die periode hebben de hackers de accounts van 971 KEHP-leden bij het StayWell-programma aangetast. Toen ze eenmaal binnen waren, slaagden ze erin om in totaal $ 100 duizend aan cadeaubonnen in te wisselen.

Uit onderzoek is gebleken dat de accounts zijn geopend met geldige inloggegevens en dat de aanvaller blijkbaar de gebruikersnamen en wachtwoorden heeft verkregen van een niet-gerelateerd datalek. De cybercriminelen organiseerden een aanvalsaanval en hoopten dat KEHP-leden hetzelfde wachtwoord voor meerdere services zouden hergebruiken. En ja hoor, hun gok heeft zijn vruchten afgeworpen. Ze waren echter nog niet klaar.

Als het eenmaal is hergebruikt, wordt het twee keer hergebruikt

Op 12 mei besloten de aanvallers om te zien hoe slecht de hergebruikgewoonten van KEHP-leden zijn. Ze voerden een tweede aanvalsaanval uit, maar deze keer richtten ze zich op de e-mailaccounts van de Commonwealth van de leden die getroffen waren door de inbreuk van april. De aanval werkte op 42 van de 971 gerichte accounts, wat misschien niet veel lijkt, maar het resulteerde nog steeds in de frauduleuze inwisseling van nog eens $ 7.700 aan cadeaubonnen.

Volgens Lexington Herald-Leader heeft StayWell na de eerste aanval de website afgebroken om de beveiliging te verbeteren, en het Kentucky Personnel Cabinet zei op Twitter dat het niet terug zal zijn tot 30 juni. We moeten nog kijken wat voor soort van functies die het van plan is te introduceren, maar het is redelijk om te zeggen dat, tenzij mensen leren hoe gevaarlijk het is om hetzelfde wachtwoord voor meerdere services te hergebruiken, het extreem moeilijk zal zijn om ze te beschermen tegen aanvallen met inloggegevens.