Meerdere Australische pensioenfondsen zijn getroffen door een credential stuffing-aanval, waarbij aanvallers via hergebruikte wachtwoorden op duizenden accounts van leden konden inloggen om vervolgens geld te stelen. Volgens Australische media hebben de aanvallers op deze manier honderdduizenden dollars buitgemaakt. Een bron stelt tegenover persbureau Reuters dat meer dan twintigduizend accounts zijn gecompromitteerd.

Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

AustralianSuper, het grootste pensioenfonds van Australië, zegt dat aanvallers de gestolen wachtwoorden van mogelijk zeshonderd leden hebben gebruikt om op hun accounts in te loggen en fraude te plegen. Volgens het pensioenfonds heeft het op dit moment met veel verkeer naar het callcenter, online accounts en de mobiele app te maken, wat voor storingen zorgt. Daardoor kan het voorkomen dat leden op hun rekening een bedrag van nul dollar zien staan. Toch zijn accounts veilig, aldus het pensioenfonds dat over een tijdelijke situatie spreekt.

Leden werden eerder opgeroepen om op hun account in te loggen en te controleren of hun rekeninggegevens en contactgegevens nog correct zijn. Daarnaast moet er een sterk wachtwoord worden gebruikt, dat leden alleen voor het pensioenfonds gebruiken, aldus het advies. Door de oproep kampt het pensioenfonds naar eigen zeggen nu met een storing.

Pensioenfonds Rest, dat twee miljoen leden telt, stelt dat de aanvallers toegang hebben gekregen tot de accounts van achtduizend leden. Er is daarbij geen geld gestolen, aldus een verklaring. Leden die hun Rest-wachtwoord ook voor andere accounts gebruiken worden opgeroepen om die meteen te veranderen. Ook pensioenfonds Hostplus zegt dat leden geen geld hebben verloren.

Insignia Financial laat in een verklaring weten dat honderd klanten zijn getroffen en spreekt als enige over een credential stuffing-aanval (pdf). ABC News meldt dat de aanvallers honderdduizenden dollars hebben gestolen. Een beveiligingsexpert laat tegenover het medium weten dat de accounts een eenvoudig doelwit zijn, omdat ze geen gebruik van multifactorauthenticatie maken. Reuters stelt dat vier leden van AustralianSuper in totaal 500.000 dollar zijn kwijtgeraakt.