En dataovertrædelse rammer en San Diego-baseret udbyder af førskoleundervisning med lav indkomst

Educational Enrichment Systems Data Breach

Educational Enrichment Systems, Inc. (EES) ligner ikke det mest attraktive bytte for cyberkriminelle. I de sidste fire årtier har EES udviklet og tilbudt uddannelsesprogrammer til børn, der vokser op i familier med lav indkomst. Det er en non-profit organisation, der overvejende arbejder med småbørn og børn i børnehavealderen, som er langt fra de ansigtsløse virksomheder og finansielle institutioner, som du normalt ville forvente at blive ramt. På trods af dette besluttede cyberkriminelle at angribe EES, og resultaterne kunne have været temmelig ødelæggende.

Hackere kompromitterede en EES-medarbejders e-mail

Sidste uge opdaterede EES sit websted og inkluderede et link til en meddelelse om brud på data, der forklarer, hvad der skete nøjagtigt. I henhold til det bemærkede EES 'IT-team i august 2019 usædvanlig aktivitet omkring en medarbejders e-mail-konto. Den efterfølgende undersøgelse afslørede, at det indledende kompromis fandt sted den 27. maj 2019, og hackerne bevarede uautoriseret adgang til indbakken i den næste halvanden måned.

Ordlyden antyder, at EES's IT-eksperter ved godt, hvad der skete, men meddelelsen i sig selv giver ikke meget i vejen for detaljer. Det siger for eksempel ikke, hvordan hackerne formåede at komme ind i EES-medarbejderens indbakke. Vi kan kun gætte, om det skete på grund af et svagt kodeord, et phishing-angreb eller en sårbarhed i EES 'e-postsystemer. Vi har ingen idé om, hvorfor hackerne flyttede ud i midten af juli, hvorfor EES ikke lærte om angrebet før sidst i august, og hvorfor offentligheden bliver informeret om det nu, mere end fem måneder efter overtrædelsens opdagelse.

"Ingen beviser" for misbrug af data, men det betaler sig at være forsigtig

Hvad overtrædelsesmeddelelsen fortæller os, er, hvilken slags data der potentielt blev sat i fare. Det viser sig, at den kompromitterede e-mail-konto indeholdt en hel del følsomme oplysninger, herunder navne, e-mail og fysiske adresser, personnummer, økonomiske og sundhedsmæssige data, uddannelsesmæssige poster og medicinske historier.

Uddannelsesudbyderen påpegede imidlertid, at undersøgelsen har afsløret "intet bevis" for, at dataene blev adgang eller misbrugt. Når det er sagt, er den potentielle fare for at få disse detaljer udsat så stor, at det ikke er en særlig god ide at tage nogen chance.

Derfor er EES i færd med at informere hver enkelt berørt person, og meddelelsen om overtrædelse af data inkluderer en temmelig omfattende liste over forholdsregler, som folk kan tage for at minimere chancerne for identitetstyveri.

Da det faktiske omfang af overtrædelsen forbliver ukendt, bør enhver, der har arbejdet med EES tidligere, tage et kig på disse trin og overveje, hvad de kan gøre for at holde sig selv i sikkerhed. For resten af os skal denne hændelse tjene som endnu en påmindelse om, at selv organisationer, der udøver beundringsværdigt arbejde og hjælper samfund, kan målrettes mod cyberkriminelle. Som du kan se, er medarbejdere og frivillige, der arbejder for disse organisationer, ofte de første, der kompromitteres, og det er især vigtigt, at de kender risikoen.

February 11, 2020

Efterlad et Svar