Ein Datenverstoß trifft einen in San Diego ansässigen Vorschulerzieher mit niedrigem Einkommen

Educational Enrichment Systems, Inc. (EES) scheint für Cyberkriminelle nicht die attraktivste Beute zu sein. In den letzten vier Jahrzehnten hat die EES Bildungsprogramme für Kinder entwickelt und angeboten, die in einkommensschwachen Familien aufwachsen. Es handelt sich um eine gemeinnützige Organisation, die hauptsächlich mit Kleinkindern und Kindern im Vorschulalter zusammenarbeitet. Dies ist weit entfernt von den gesichtslosen Unternehmen und Finanzinstituten, von denen Sie normalerweise erwarten würden, dass sie betroffen sind. Trotzdem beschlossen die Cyberkriminellen, EES anzugreifen, und die Ergebnisse hätten ziemlich verheerend sein können.

Hacker haben die E-Mail eines EES-Mitarbeiters kompromittiert

Letzte Woche hat EES seine Website aktualisiert und einen Link zu einem Hinweis auf Datenschutzverstöße eingefügt, der erklärt, was genau passiert ist. Demnach stellte das IT-Team von EES im August 2019 ungewöhnliche Aktivitäten im Zusammenhang mit dem E-Mail-Konto eines Mitarbeiters fest. Die anschließende Untersuchung ergab, dass der erste Kompromiss am 27. Mai 2019 stattfand und die Hacker die nächsten eineinhalb Monate nicht autorisierten Zugriff auf den Posteingang hatten.

Aus dem Wortlaut geht hervor, dass die IT-Experten von EES sehr gut wissen, was passiert ist, die Benachrichtigung selbst jedoch nicht viele Details enthält. Es ist beispielsweise nicht angegeben, wie es den Hackern gelungen ist, in den Posteingang des EES-Mitarbeiters zu gelangen. Wir können nur raten, ob dies auf ein schwaches Passwort, einen Phishing-Angriff oder eine Sicherheitslücke in den EES-E-Mail-Systemen zurückzuführen ist. Wir haben keine Ahnung, warum die Hacker Mitte Juli ausgezogen sind, warum die EES erst Ende August von dem Angriff erfahren hat und warum die Öffentlichkeit jetzt, mehr als fünf Monate nach der Aufdeckung des Verstoßes, darüber informiert wird.

"Keine Beweise" für Datenmissbrauch, aber es lohnt sich, vorsichtig zu sein

In der Benachrichtigung über Verstöße wurde uns mitgeteilt, welche Art von Daten potenziell gefährdet waren. Wie sich herausstellt, enthielt das manipulierte E-Mail-Konto eine Menge vertraulicher Informationen, darunter Namen, E-Mail-Adressen und Anschriften, Sozialversicherungsnummern, Finanz- und Krankenversicherungsdaten, Schulungsunterlagen und Krankengeschichten.

Der Bildungsdienstleister wies jedoch darauf hin, dass die Untersuchung "keine Beweise" für den Zugriff auf oder den Missbrauch von Daten erbracht habe. Das heißt, die potenzielle Gefahr, diese Details sichtbar zu machen, ist so groß, dass es keine gute Idee ist, Risiken einzugehen.

Aus diesem Grund informiert EES derzeit jeden einzelnen Betroffenen, und die Benachrichtigung über Datenschutzverletzungen enthält eine ziemlich umfangreiche Liste von Vorsichtsmaßnahmen, die Personen treffen können, um das Risiko eines Identitätsdiebstahls auf ein Mindestmaß zu beschränken.

Da der tatsächliche Umfang der Sicherheitsverletzung nicht bekannt ist, sollte jeder, der in der Vergangenheit mit EES gearbeitet hat, einen Blick auf diese Schritte werfen und überlegen, was er tun kann, um sich selbst zu schützen. Für den Rest von uns sollte dieser Vorfall eine weitere Erinnerung sein, dass auch Organisationen, die bewundernswerte Arbeit leisten und Gemeinschaften helfen, von Cyberkriminellen angegriffen werden können. Wie Sie sehen, sind Mitarbeiter und Freiwillige, die für diese Organisationen arbeiten, häufig die ersten, die gefährdet werden, und es ist besonders wichtig, dass sie die Risiken kennen.