Una violación de datos afecta a un proveedor de educación preescolar de bajos ingresos con sede en San Diego

Educational Enrichment Systems Data Breach

Educational Enrichment Systems, Inc. (EES) no parece la presa más atractiva para los cibercriminales. Durante las últimas cuatro décadas, EES ha desarrollado y ofrecido programas educativos para niños que crecen en familias de bajos ingresos. Es una organización sin fines de lucro que trabaja predominantemente con niños pequeños y niños en edad preescolar, lo que está muy lejos de las corporaciones anónimas y las instituciones financieras que normalmente esperarías que te golpeen. A pesar de esto, los cibercriminales decidieron atacar a EES, y los resultados podrían haber sido bastante devastadores.

Los piratas informáticos comprometieron el correo electrónico de un empleado de EES

La semana pasada, EES actualizó su sitio web e incluyó un enlace a un aviso de violación de datos, que explica exactamente lo que sucedió. Según esto, en agosto de 2019, el equipo de TI de EES notó una actividad inusual en la cuenta de correo electrónico de un empleado. La investigación que siguió reveló que el compromiso inicial tuvo lugar el 27 de mayo de 2019, y los piratas informáticos retuvieron el acceso no autorizado a la bandeja de entrada durante el próximo mes y medio.

La redacción sugiere que los expertos de TI de EES saben muy bien lo que sucedió, pero la notificación en sí misma no proporciona muchos detalles. No dice, por ejemplo, cómo los hackers lograron ingresar a la bandeja de entrada del empleado de EES. Solo podemos adivinar si sucedió debido a una contraseña débil, un ataque de phishing o una vulnerabilidad en los sistemas de correo electrónico de EES. No tenemos idea de por qué los piratas informáticos se mudaron a mediados de julio, por qué EES no se enteró del ataque hasta finales de agosto, y por qué el público en general está informado al respecto ahora, más de cinco meses después del descubrimiento de la violación.

"No hay evidencia" de mal uso de datos, pero vale la pena tener cuidado

Lo que nos dijo el aviso de incumplimiento es qué tipo de datos se puso potencialmente en riesgo. Como resultado, la cuenta de correo electrónico comprometida contenía mucha información confidencial, incluidos nombres, direcciones de correo electrónico y físicas, números de Seguridad Social, datos de seguros financieros y de salud, registros educativos e historias clínicas.

Sin embargo, el proveedor de servicios educativos señaló que la investigación ha revelado que "no hay evidencia" de que los datos sean accedidos o mal utilizados. Dicho esto, el peligro potencial de tener estos detalles expuestos es tan grande, que arriesgarse no es una muy buena idea.

Es por eso que EES está en el proceso de informar a cada individuo afectado, y el aviso de violación de datos incluye una lista bastante extensa de precauciones que las personas pueden tomar para minimizar las posibilidades de robo de identidad.

Debido a que se desconoce el alcance real de la violación, cualquiera que haya trabajado con EES en el pasado debería echar un vistazo a estos pasos y considerar qué pueden hacer para mantenerse a salvo. Para el resto de nosotros, este incidente debería servir como otro recordatorio de que incluso las organizaciones que realizan un trabajo admirable y ayudan a las comunidades pueden ser blanco de ciberdelincuentes. Como puede ver, los empleados y voluntarios que trabajan para estas organizaciones a menudo son los primeros en verse comprometidos, y es especialmente importante que conozcan los riesgos.

February 11, 2020

Deja una respuesta