Il personale e gli studenti dell'Università di York affrontano una violazione dei dati che ha trapelato molti dettagli personali

University of York's Third-Party Data Breach

Martedì, l'Università di York ha pubblicato una notifica sul suo sito Web con la quale ha informato il personale, gli studenti e gli ex studenti che i loro dati potrebbero essere stati violati. L'incidente è avvenuto a maggio e ha riguardato dettagli personali come nomi e date di nascita, informazioni di contatto come telefoni, indirizzi e-mail e profili LinkedIn, nonché molti dati relativi alle attività accademiche delle vittime.

Il numero di persone colpite rimane sconosciuto, ma l'Università di York ci ha assicurato che durante la violazione non sono state rubate informazioni sulla carta di credito. Tuttavia, il potenziale per il furto di identità è molto reale per le persone coinvolte e l'unica cosa su cui possono fare affidamento per proteggerle è l'onestà dei criminali informatici.

La violazione è avvenuta a terzi

I sistemi IT dell'Università di York non sono mai stati compromessi. L'attacco era rivolto a un partner dell'università chiamato Blackbaud. Blackbaud è un fornitore di soluzioni di gestione delle relazioni con i clienti (CRM) per le organizzazioni accademiche e senza fini di lucro e il 16 luglio ha rilasciato una dichiarazione pubblica sulla violazione.

Il fornitore di CRM ha annunciato che a maggio è stato colpito da un attacco di ransomware e ha continuato a spiegare come ha reagito. Apparentemente, Blackbaud ha rilevato l'intrusione rapidamente e, con l'aiuto di specialisti della sicurezza informatica, è riuscito a respingere gli aggressori. Nonostante le reazioni lampo, i truffatori sono riusciti a decollare con alcuni dati, inclusi i dettagli personali e di contatto degli studenti e del personale dell'Università di York.

Blackbaud ha pagato il riscatto

Blackbaud ha iniziato la sua notifica con una spiegazione di quanto sia grande l'industria del crimine informatico, e poi ha continuato a dirci come ha fatto la sua piccola cosa per sostenerlo. Grazie alla rapida reazione di Blackbaud, gli hacker non sono riusciti a crittografare i file. Avevano comunque i dati rubati e, naturalmente, decisero di usarli come leva per l'estorsione.

A quanto pare, questa è stata una buona idea. Blackbaud ha ammesso nella sua notifica di aver pagato un riscatto di un importo non specificato.

Pagare il riscatto è stata una buona idea?

A prima vista, pagare il riscatto è una cosa molto nobile da fare. In effetti, il fornitore CRM si priva di alcuni dei suoi profitti utili al fine di garantire che i dati dei suoi clienti non vengano abusati.

Sfortunatamente, non è possibile garantire che i dati siano effettivamente sicuri. Secondo Blackbaud, dopo il pagamento del riscatto, i criminali informatici hanno fornito "una conferma" che la copia dei dati rubati era stata cancellata. Sfortunatamente, sia Blackbaud che le persone i cui dati sono stati compromessi non hanno altra scelta che prendere la parola dei criminali per questo. Dato che stiamo parlando di un gruppo di spietati criminali informatici, è difficile fidarsi di loro, motivo per cui agli studenti, al personale e agli ex studenti dell'Università di York viene ancora consigliato di essere alla ricerca di eventuali segni di furto di identità.

July 23, 2020

Lascia un Commento