Mitarbeiter und Studenten der University of York sind mit einem Datenverstoß konfrontiert, bei dem viele persönliche Daten verloren gingen

University of York's Third-Party Data Breach

Am Dienstag veröffentlichte die University of York auf ihrer Website eine Benachrichtigung, mit der sie Mitarbeiter, Studenten und Alumni darüber informierte, dass möglicherweise gegen ihre Daten verstoßen wurde. Der Vorfall ereignete sich im Mai und beinhaltete persönliche Daten wie Namen und Geburtsdaten, Kontaktinformationen wie Telefone, E-Mail-Adressen und LinkedIn-Profile sowie zahlreiche Daten zu den akademischen Aktivitäten der Opfer.

Die Anzahl der betroffenen Personen ist weiterhin unbekannt, aber die Universität von York versicherte uns, dass während des Verstoßes keine Kreditkarteninformationen gestohlen wurden. Trotzdem ist das Potenzial für Identitätsdiebstahl für die beteiligten Personen sehr real, und das einzige, worauf sie sich verlassen können, um sie zu schützen, ist die Ehrlichkeit der Cyberkriminellen.

Der Verstoß ereignete sich bei einem Dritten

Die IT-Systeme der University of York wurden nie kompromittiert. Der Angriff richtete sich gegen einen Partner der Universität namens Blackbaud. Blackbaud ist ein Anbieter von CRM-Lösungen (Customer Relationship Management) für akademische und gemeinnützige Organisationen und hat am 16. Juli eine öffentliche Erklärung zu dem Verstoß veröffentlicht.

Der CRM-Anbieter gab bekannt, dass er im Mai von einem Ransomware-Angriff betroffen war, und erklärte anschließend, wie er reagierte. Anscheinend hat Blackbaud das Eindringen schnell erkannt und mit Hilfe von Cybersicherheitsspezialisten die Angreifer rausgeschmissen. Trotz der Blitzreaktionen gelang es den Gaunern, mit einigen Daten, einschließlich der persönlichen Daten und Kontaktdaten der Studenten und Mitarbeiter der Universität von York, davonzukommen.

Blackbaud bezahlte das Lösegeld

Blackbaud begann seine Benachrichtigung mit einer Erklärung, wie groß die Cyberkriminalitätsbranche ist, und erzählte uns dann, wie es seine kleine Sache getan hat, um sie zu unterstützen. Dank der schnellen Reaktion von Blackbaud konnten die Hacker keine Dateien verschlüsseln. Sie hatten die gestohlenen Daten jedoch bei sich und beschlossen natürlich, sie als Hebel für Erpressungen zu nutzen.

Wie sich herausstellte, war dies eine gute Idee. Blackbaud gab in seiner Mitteilung zu, ein Lösegeld in nicht näher bezeichneter Höhe gezahlt zu haben.

War es so eine gute Idee, das Lösegeld zu bezahlen?

Auf den ersten Blick ist es sehr edel, das Lösegeld zu zahlen. Tatsächlich beraubt sich der CRM-Anbieter eines Teils seiner hart verdienten Gewinne, um sicherzustellen, dass die Daten seiner Kunden nicht missbraucht werden.

Leider kann nicht garantiert werden, dass die Daten tatsächlich sicher sind. Laut Blackbaud haben die Cyberkriminellen nach Zahlung des Lösegelds "eine Bestätigung" geliefert, dass die Kopie der von ihnen gestohlenen Daten gelöscht wurde. Leider haben sowohl Blackbaud als auch die Personen, deren Daten kompromittiert wurden, keine andere Wahl, als das Wort der Gauner dafür zu nehmen. Angesichts der Tatsache, dass es sich um eine Gruppe rücksichtsloser Cyberkrimineller handelt, ist es schwierig, ihnen zu vertrauen. Aus diesem Grund wird den Studenten, Mitarbeitern und Alumni der University of York weiterhin empfohlen, nach Anzeichen von Identitätsdiebstahl Ausschau zu halten.

July 23, 2020

Antworten