Personale og studerende ved University of York står over for en dataforbrud, der lækkede mange personlige detaljer

University of York's Third-Party Data Breach

Tirsdag offentliggjorde University of York en anmeldelse på sin hjemmeside, som det informerede personale, studerende og alumner om, at deres data kan være blevet brudt. Hændelsen skete i maj, og den involverede personlige detaljer som navn og fødselsdato, kontaktoplysninger som telefoner, e-mail-adresser og LinkedIn-profiler samt en hel del data relateret til ofrenes akademiske aktiviteter.

Antallet af berørte personer er stadig ukendt, men University of York forsikrede os om, at der ikke blev stjålet nogen kreditkortoplysninger under overtrædelsen. Alligevel er potentialet for identitetstyveri meget reelt for de involverede mennesker, og det eneste, de kan stole på for at beskytte dem, er cyberkriminelle ærlighed.

Overtrædelsen skete hos en tredjepart

University of Yorks IT-systemer blev aldrig kompromitteret. Angrebet var rettet mod en partner på universitetet kaldet Blackbaud. Blackbaud er leverandør af CRM-løsninger (Customer Relationship Management) til akademiske og non-profit-organisationer, og den 16. juli afgav den en offentlig erklæring om overtrædelsen.

CRM-udbyderen annoncerede, at den i maj blev ramt af et ransomware-angreb, og det fortsatte derefter med at forklare, hvordan det reagerede. Tilsyneladende opdagede Blackbaud indtrængen hurtigt, og ved hjælp af cybersikkerhedsspecialister formåede det at sparke angriberne ud. På trods af lynreaktionerne lykkedes det skurkerne at mødes med nogle data, inklusive de personlige og kontaktoplysninger for University of York-studerende og -personale.

Blackbaud betalte løsepenge

Blackbaud startede sin anmeldelse med en forklaring af, hvor stor cyberkriminalitetsindustrien er, og fortsatte med at fortælle os, hvordan den gjorde sin lille ting for at støtte den. Takket være Blackbauds hurtige reaktion kunne hackerne ikke kryptere nogen filer. De havde dog de stjålne data med sig, og naturligvis besluttede de at bruge dem som gearing til afpresning.

Det viste sig, at dette var en god idé. Blackbaud indrømmede i sin anmeldelse, at den betalte en løsepenge på et uspecificeret beløb.

Var det at betale løsepenge en sådan god idé?

I lyset af det er betaling af løsepenge en meget ædel ting at gøre. Faktisk fratager CRM-udbyderen sig nogle af sine hårdt tjente overskud for at sikre, at sine kunders data ikke misbruges.

Desværre kan der ikke være nogen sikkerhed for, at dataene faktisk er sikre. Ifølge Blackbaud leverede cyberkriminelle "en bekræftelse" efter, at løsepenge var betalt, at kopien af de data, de havde stjålet, blev slettet. Desværre har både Blackbaud og de mennesker, hvis data blev kompromitteret, intet andet valg end at tage skurkenes ord for det. I betragtning af at vi taler om en gruppe hensynsløse cyberkriminelle, er det svært at stole på dem, og det er grunden til, at University of Yorks studerende, personale og alumner stadig rådes til at være på udkig efter tegn på identitetstyveri.

July 23, 2020

Efterlad et Svar