Plan zdrowia pracowników Kentucky obwinia najnowsze naruszenie danych o ponowne użycie hasła

Kentucky Employee 'Health Plan (KEHP), organizacja oferująca ubezpieczenie zdrowotne ponad ćwierć miliona członków, współpracuje z StayWell, łatwym do śledzenia programem online, który ma zainspirować ludzi do zdrowszego stylu życia. Członkowie KEHP otrzymują konkretne wskazówki, jak poprawić swoje samopoczucie fizyczne, a jeśli będą ich ściśle przestrzegać, mogą nawet otrzymać nagrody finansowe w postaci kart podarunkowych. Gdyby tylko istniał podobny program mający na celu poprawę umiejętności zarządzania hasłami.

W ubiegłym tygodniu Kentucky Personnel Cabinet ogłosił, że członkowie KEHP byli celem nie jednego, ale dwóch cyberataków. Od samego początku powinniśmy zaznaczyć, że nie mówimy o największym incydencie z cyberbezpieczeństwa, jaki kiedykolwiek widzieliśmy. Ogółem dotknęło to mniej niż 1000 z 265 tysięcy członków KEHP i chociaż napastnikom udało się uzyskać dostęp do niektórych danych z oceny stanu zdrowia, nie mogli uzyskać zbyt dużej ilości informacji osobistych lub finansowych. Biorąc to pod uwagę, przestępcom udało się zarobić na kartach podarunkowych w wysokości 107 tysięcy dolarów, co nie jest nieznaczne, zwłaszcza biorąc pod uwagę, jak łatwo było zorganizować atak.

Członkowie KEHP padli ofiarami ataku farszu

Cyberprzestępcy po raz pierwszy uderzyli 21 kwietnia, a ich operacje trwały przez kolejne sześć dni. W tym czasie hakerzy złamali konta 971 członków KEHP w programie StayWell. Po wejściu do środka udało im się zrealizować karty podarunkowe o wartości 100 000 USD.

Dochodzenie ujawniło, że dostęp do kont uzyskano przy użyciu prawidłowych danych logowania, i najwyraźniej atakujący poznał nazwy użytkowników i hasła od niepowiązanego naruszenia danych. Cyberprzestępcy zorganizowali atak upychania danych uwierzytelniających i mieli nadzieję, że członkowie KEHP ponownie użyją tego samego hasła w wielu usługach. Rzeczywiście, ich hazard się opłacił. Ale jeszcze nie skończyli.

Jeśli zostanie ponownie użyty raz, będzie ponownie użyty dwa razy

12 maja atakujący postanowili zobaczyć, jak złe są nawyki związane z ponownym użyciem hasła przez członków KEHP. Przeprowadzili drugi atak upychania poświadczeń, ale tym razem skierowali go na konta e-mail członków Commonwealth członków dotkniętych naruszeniem w kwietniu. Atak zadziałał na 42 z 971 kont docelowych, co może nie wydawać się zbyt wiele, ale nadal skutkował nieuczciwym wykorzystaniem kolejnych kart podarunkowych o wartości 7700 $.

Według Lexington Herald-Leader po pierwszym ataku StayWell zlikwidował witrynę w celu poprawy jej bezpieczeństwa, a Kentucky Personnel Cabinet powiedział na Twitterze, że nie wróci do 30 czerwca. Nie wiemy jeszcze, jaki rodzaj funkcji, które planuje wprowadzić, ale można śmiało powiedzieć, że jeśli ludzie nie dowiedzą się, jak niebezpieczne jest ponowne użycie tego samego hasła w wielu usługach, ochrona ich przed atakami polegającymi na fałszowaniu poświadczeń będzie niezwykle trudna.