Az adatsértés eljut egy san diego-i alacsony jövedelmű óvodai szolgáltatót

Educational Enrichment Systems Data Breach

Az Education Enrichment Systems, Inc. (EES) nem úgy néz ki, mint a legszebb áldozat a számítógépes bűnözők számára. Az EES az elmúlt négy évtizedben oktatási programokat dolgozott ki és kínál az alacsony jövedelmű családokban felnőtt gyermekek számára. Ez egy nonprofit szervezet, amely túlnyomórészt kisgyermekekkel és óvodáskorú gyerekekkel működik, ami messze van az arctalan vállalatoktól és pénzügyi intézményektől, amelyekről általában számíthat, hogy eltalálják őket. Ennek ellenére a számítógépes bűnözők úgy döntöttek, hogy megtámadják az EES-t, és az eredmények meglehetősen pusztítóak lehetnek.

A hackerek megsértették az EES alkalmazottjának e-mailjét

A múlt héten az EES frissítette weboldalát, és csatolt egy linket egy adatsértési értesítéshez, amely pontosan elmagyarázza, mi történt pontosan. Ennek szerint 2019 augusztusában az EES informatikai csapata szokatlan tevékenységeket észlelt egy alkalmazott e-mail fiókja körül. Az ezt követő vizsgálat feltárta, hogy az eredeti kompromisszumra 2019. május 27-én került sor, és a hackerek a következő másfél hónapban megőrizték az illetéktelen hozzáférést a postafiókba.

A megfogalmazás azt sugallja, hogy az EES informatikai szakemberei nagyon jól tudják, mi történt, ám maga az értesítés nem nyújt sok részletet a részletek szempontjából. Például nem mondja el, hogy a hackerek hogyan tudtak bejutni az EES alkalmazottja postafiókjába. Csak azt tudjuk kitalálni, hogy ez gyenge jelszó, adathalász támadás vagy az EES e-mail rendszerének sérülékenysége miatt történt-e. Fogalmam sincs, miért költöztek a hackerek július közepén, miért csak az augusztus végén tanultak az EES-ről és miért tájékoztatták a nagyközönséget most, több mint öt hónappal a jogsértés felfedezése után.

"Nincs bizonyíték" az adatokkal való visszaéléshez, ám óvatosnak kell lennie

A jogsértésről szóló értesítés azt mondta nekünk, hogy milyen adatokat veszélyeztettek potenciálisan. Mint kiderült, a veszélyeztetett e-mail fiók elég sok érzékeny információt tartalmazott, ideértve a neveket, e-mail és fizikai címeket, társadalombiztosítási számokat, pénzügyi és egészségbiztosítási adatokat, oktatási nyilvántartásokat és kórtörténetét.

Az oktatási szolgáltató ugyanakkor rámutatott, hogy a vizsgálat nem mutatott bizonyítékot az adatokhoz való hozzáférésre vagy a visszaélésre. Ennek ellenére az a veszély, hogy ezeket a részleteket feltárják, olyan hatalmas, hogy az esélyek kockáztatása nem túl jó ötlet.

Ezért az EES folyamatban van az egyes érintett személyek tájékoztatásában, és az adatsértésről szóló értesítés meglehetősen kiterjedt listát tartalmaz az óvintézkedésekről, amelyeket az emberek megtehetnek a személyazonosság-lopás esélyeinek minimalizálása érdekében.

Mivel a jogsértés tényleges mértéke továbbra sem ismert, mindenkinek, aki a múltban az EES-szel dolgozott, át kell nézni ezeket a lépéseket, és mérlegelnie kell, hogy mit tehetnek a biztonság megőrzése érdekében. Nekünk a többi számára ez az esemény újabb emlékeztetőként szolgálhat arra, hogy még a csodálatos munkát végző és a közösségeket segítő szervezeteket kiberbűnözők is megcélozhatják. Mint láthatja, ezekben a szervezetekben dolgozó alkalmazottakat és önkénteseket gyakran fenyegetik először, és különösen fontos, hogy ismerjék a kockázatokat.

February 11, 2020

Válaszolj