O plano de saúde dos funcionários de Kentucky está culpando a mais recente violação de dados pela reutilização de senhas
O Plano de Saúde dos Empregados do Kentucky (KEHP), uma organização que oferece seguro de saúde a mais de um quarto de milhão de membros, firmou parceria com o StayWell, um programa on-line fácil de seguir que deve inspirar as pessoas a ter um estilo de vida mais saudável. Os membros do KEHP recebem dicas específicas sobre como melhorar seu bem-estar físico e, se os seguirem de perto, poderão até receber recompensas financeiras na forma de cartões-presente. Se ao menos houvesse um programa semelhante projetado para melhorar suas habilidades de gerenciamento de senhas.
Na semana passada, o Gabinete de Pessoal de Kentucky anunciou que os membros do KEHP foram alvejados por não um, mas dois ataques cibernéticos. Devemos salientar desde o início que não estamos falando do maior incidente de segurança cibernética que já vimos. No total, menos de 1.000 dos 265 mil membros do KEHP foram afetados e, embora os invasores tenham conseguido acessar alguns dados da avaliação de saúde, eles não conseguiram colocar muitas informações pessoais ou financeiras em suas mãos. Dito isto, os criminosos conseguiram fugir com um total de US $ 107 mil em cartões-presente, o que não é insignificante, especialmente quando você considera o quão fácil foi organizar o ataque.
Membros do KEHP foram vítimas de um ataque de preenchimento de credenciais
Os cibercriminosos chegaram pela primeira vez em 21 de abril e suas operações continuaram pelos próximos seis dias. Durante esse período, os hackers comprometeram as contas de 971 membros do KEHP no programa StayWell. Quando entraram, eles conseguiram resgatar um total de US $ 100 mil em cartões-presente.
Uma investigação revelou que as contas foram acessadas usando credenciais de login válidas e, aparentemente, o invasor obteve os nomes de usuário e senhas de uma violação de dados não relacionada. Os cibercriminosos organizaram um ataque de credencial e esperavam que os membros do KEHP reutilizassem a mesma senha em vários serviços. Com certeza, sua aposta valeu a pena. Eles não foram feitos, no entanto.
Se for reutilizado uma vez, será reutilizado duas vezes
Em 12 de maio, os atacantes decidiram ver quão ruins são os hábitos de reutilização de senha dos membros do KEHP. Eles montaram um segundo ataque de preenchimento de credenciais, mas desta vez eles apontaram para as contas de email da Commonwealth dos membros afetados pela violação de abril. O ataque funcionou em 42 das 971 contas direcionadas, o que pode não parecer muito, mas ainda resultou no resgate fraudulento de mais US $ 7.700 em cartões-presente.
De acordo com Lexington Herald-Leader, após o primeiro ataque, o StayWell retirou o site para melhorar sua segurança, e o Gabinete de Pessoal do Kentucky disse no Twitter que não voltará até 30 de junho. Ainda não vimos que tipo dos recursos que planeja apresentar, mas é justo dizer que, a menos que as pessoas aprendam o quão perigoso é reutilizar a mesma senha em vários serviços, protegê-las contra ataques de preenchimento de credenciais será extremamente difícil.
