L'absence de mesures de sécurité en ligne expose plus d'un million de données personnelles d'élèves à des menaces

Jusqu'à présent, 2020 a été une course de montagnes russes sauvages. La CIVD-19 a enfermé tout le monde et contraint de nombreuses industries et fournisseurs de services qui ont organisé des événements ou qui se sont appuyés sur des rassemblements massifs de personnes pour mettre leurs services en ligne. Le côté positif est que cette tournure malheureuse des événements a donné à de nombreuses plateformes l'occasion de briller et a poussé les entreprises et les prestataires de services à s'adapter, à innover et à tirer le meilleur parti d'une mauvaise situation. Malheureusement, ce pic d'activité en ligne ne pourrait passer sans que des acteurs malveillants ne s'impliquent.

Dans une tournure intéressante des événements, des déclarations de groupes de hackers à succès sont apparues sur le dark web, annonçant que lesdits pirates n'attaqueraient pas les hôpitaux et autres prestataires de soins de santé en signe de solidarité en ces temps turbulents. Tous les cybercriminels ne se sont pas naturellement engagés dans cette action, mais cela démontre que certains d'entre eux sont simplement méchants, plutôt que vraiment monstrueux.

Malheureusement, alors que les hôpitaux et les prestataires de soins de santé peuvent être à l'abri des déprédations de certains pirates, le reste de l'infrastructure nécessaire pour faire fonctionner la société ne l'est pas. Cela inclut la scolarité, qui a été largement transférée en ligne et qui est toujours menacée. Et, comme le montre la débâcle OneClass , les entreprises qui fournissent de tels services doivent se mobiliser .
La plate-forme d'apprentissage en ligne basée à Toronto, au Canada, existe depuis plus d'une décennie et scolarise actuellement activement plus de soixante mille étudiants en ligne, le nombre réel de ses utilisateurs étant en fait beaucoup plus élevé que cela.

Selon VPNMentor, leurs experts sont tombés sur une base de données mal sécurisée appartenant à OneClass . Cette base de données était prétendument disponible gratuitement sur Internet, en raison de l'échec de OneClass à «sécuriser ses serveurs, à mettre en œuvre des règles d'accès appropriées et à ne jamais laisser un système qui ne nécessite pas d'authentification ouvert à Internet».

Heureusement, il ne semble pas qu'un pirate informatique ait reniflé les données et les ait volées, mais le fait que les informations personnellement identifiables des étudiants actuels, des étudiants rejetés et des universitaires auraient facilement pu être volés et divulgués soulève de sérieuses sonnettes d'alarme.

Pour sa part, OneClass a immédiatement pris des mesures pour sécuriser sa base de données et a affirmé qu'il ne s'agissait que d'un serveur de test et qu'il ne contenait aucun détail crucial, comme des informations financières ou quoi que ce soit de ce genre. Cependant, il n'en demeure pas moins qu'en raison d'une mauvaise gestion de leurs activités en ligne, un vaste trésor de 8,9 millions d'enregistrements aurait pu être divulgué en ligne.

Cela représente environ 27 Go de données sur des personnes de tous les horizons et de tous les âges - certaines d'entre elles aussi jeunes que 13 ans, qui auraient pu tomber entre les mains d'indésirables et être utilisées à des fins néfastes.

La lueur d'espoir dans tout cela est qu'en fin de compte, aucune information cruciale ne semble avoir été divulguée. Cependant, cela met en évidence la nécessité pour les entreprises de prendre au sérieux la cybersécurité. De la façon dont cela est décrit par VPNMentor, il semble que la situation de OneClass était un désastre en attente de se produire, et ce n'est que la chance qui a empêché les données de millions d'utilisateurs de tomber entre de mauvaises mains.

Et il est très important de comprendre les conséquences d'une violation de données, comme celle qui aurait pu arriver à OneClass . Alors que le scandale et la réputation ruinée qui vont de pair avec un événement aussi majeur ne sont certainement pas à éternuer, une fois qu'une entreprise est violée, elle doit signaler l'événement rapidement aux autorités compétentes et informer tous les utilisateurs que leur sécurité est compromise. La violation elle-même, ainsi que toute négligence dans le signalement, ouvre alors l'entreprise à des enquêtes détaillées et, très probablement, à des amendes exorbitantes. Comme en témoignent les recherches sur le sujet, le coût moyen d'une violation de données pour la victime s'élève à plus d'un demi-million de dollars - et il convient de se rappeler que plus la plate-forme qui a été violée est grande, plus ce nombre augmente. Tout cela peut facilement mettre une entreprise en faillite - et c'est souvent le cas.

Alors, que peut-on faire à propos de cette situation?

1. Les entreprises doivent mettre de l'ordre dans leur maison. Ils doivent être conscients qu'il existe des acteurs malveillants prêts à les attaquer, quelle que soit l'innocuité de la cible qu'ils présentent. Ils doivent investir dans une sécurité appropriée pour leur infrastructure en ligne et informer leur personnel des dangers qui se cachent en ligne afin de minimiser les risques de violation.
2. Les utilisateurs réguliers doivent se méfier. Il est utile de vérifier régulièrement si l'un de vos comptes a été compromis de quelque manière que ce soit. Il existe plusieurs plates-formes sur Internet qui fournissent un tel service. De plus, c'est une bonne idée d'être à l'affût des nouvelles sur les violations de données et autres infractions similaires liées aux entreprises dont vous utilisez activement les plateformes. Naturellement, vous devrez également respecter les meilleures pratiques pour protéger vos comptes des pirates, comme d'habitude.