Kentuckys anställdas hälsoplan skyller på det senaste databrottet vid återanvändning av lösenord

Kentucky medarbetarnas hälsoplan (KEHP), en organisation som erbjuder sjukförsäkring till mer än en fjärdedel av en miljon medlemmar, har samarbetat med StayWell, ett lättföljigt online-program som ska inspirera människor till en hälsosammare livsstil. KEHP-medlemmar ges specifika tips om hur man kan förbättra deras fysiska välbefinnande, och om de följer dem noga kan de till och med få ekonomiska belöningar i form av presentkort. Om det bara fanns ett liknande program utformat för att förbättra deras lösenordshanteringsfärdigheter.

Förra veckan tillkännagav personalkabinettet i Kentucky att KEHP-medlemmarna inte har riktats mot en utan två cyberattacker. Vi bör börja påpeka att vi inte talar om den största cybersäkerhetshändelsen som vi någonsin har sett. Totalt drabbades färre än 1 000 av KEHP: s 265 000 medlemmar, och även om angriparna lyckades få tillgång till vissa uppgifter om hälsovärderingen, kunde de inte få tag på för mycket personlig eller finansiell information. Med det sagt, lyckades brottslingar lyckas med totalt 107 tusen dollar i presentkort, vilket inte är obetydligt, särskilt när du tänker på hur lätt det var att organisera attacken.

KEHP-medlemmar föll offer för en legitim stoppningsattack

Cyberbrottslingarna träffade först den 21 april och deras verksamhet fortsatte under de kommande sex dagarna. Under den perioden komprometterade hackarna konton för 971 KEHP-medlemmar vid StayWell-programmet. När de var inne lyckades de lösa in totalt 100 000 $ presentkort.

En undersökning avslöjade att kontona var tillgängliga med giltiga inloggningsuppgifter, och angriparen fick tydligen användarnamn och lösenord från ett oberoende dataöverträdelse. Cyberbrottslingarna organiserade en legitim stoppningsattack och hoppades att KEHP-medlemmar skulle återanvända samma lösenord för flera tjänster. Visst nog, deras spel gick bra. Men de var inte klara.

Om den återanvänds en gång kommer den att återanvändas två gånger

Den 12 maj beslutade angriparna att se hur dåliga KEHP-medlemmarnas vanor med återanvändning av lösenord är. De installerade en andra referensstoppningsattack, men den här gången siktade de den på Commonwealth-e-postkonton för medlemmarna som drabbades av aprilbrottet. Attacken fungerade på 42 av de 971 riktade kontona, som kanske inte verkar mycket, men det resulterade fortfarande i bedräglig inlösen av ytterligare 7 700 $ presentkort.

Enligt Lexington Herald-Leader drog StayWell efter den första attacken webbplatsen för att förbättra dess säkerhet, och Kentucky personalkabinett sade på Twitter att det inte kommer att vara tillbaka förrän den 30 juni. Vi har ännu inte sett vilken typ av funktioner som den planerar att införa, men det är rättvist att säga att såvida inte folk lär sig hur farligt det är att återanvända samma lösenord på flera tjänster, kommer det att vara extremt svårt att skydda dem mot referensattacker.