データ侵害がサンディエゴに本拠を置く低所得の就学前教育プロバイダーを襲う

Educational Enrichment Systems Data Breach

Educational Enrichment Systems、Inc.(EES)は、サイバー犯罪者にとって最も魅力的な獲物のようには見えません。過去40年間、EESは低所得家庭で育った子供たちに教育プログラムを開発し、提供してきました。これは、就学前の幼児や子供を中心に活動する非営利団体です。これは、通常打撃を受けると予想される顔の見えない企業や金融機関とはかけ離れています。それにもかかわらず、サイバー犯罪者はEESを攻撃することを決定し、結果はかなり破壊的だったかもしれません。

ハッカーがEES従業員のメールを侵害

EESは先週、Webサイトを更新し、データ侵害通知へのリンクを追加しました。これは、何が起こったのかを正確に説明しています。それによると、2019年8月、EESのITチームは、従業員のメールアカウントに関する異常な活動に気付きました。その後の調査により、最初の侵害は2019年5月27日に行われ、ハッカーは翌月半の間、受信トレイへの不正アクセスを保持したことが明らかになりました。

この言葉遣いは、EESのIT専門家が何が起こったのかを非常によく知っていることを示唆していますが、通知自体は詳細の点ではあまり多くを提供しません。たとえば、ハッカーがEES従業員の受信ボックス内にどうやって侵入したかはわかりません。パスワードの脆弱性、フィッシング攻撃、またはEESの電子メールシステムの脆弱性が原因であるかどうかを推測することしかできません。ハッカーが7月中旬に撤退した理由、EESが8月下旬まで攻撃について学習しなかった理由、および侵害の発見から5か月以上たった今、一般大衆にそのことを知らせる理由は不明です。

データの不正使用の「証拠なし」ですが、注意が必要です

侵害通知は、どのようなデータが潜在的に危険にさらされているかを示しています。判明したように、侵害された電子メールアカウントには、名前、電子メールと物理アドレス、社会保障番号、金融と健康保険のデータ、教育記録、病歴など、非常に多くの機密情報が含まれていました。

ただし、教育サービスプロバイダーは、調査により、データがアクセスまたは悪用されている「証拠がない」ことが明らかになったことを指摘しました。そうは言っても、これらの詳細を公開することの潜在的な危険性は非常に大きいため、チャンスをとることはあまり良い考えではありません。

そのため、EESは影響を受けるすべての個人に通知を行っており、データ侵害通知には、個人情報の盗難の可能性を最小限に抑えるために講じることができる予防策のかなり広範なリストが含まれています。

違反の実際の範囲は不明のままであるため、過去にEESで作業したことがある人は誰でもこれらの手順を見て、自分自身を安全に保つためにできることを検討する必要があります。残りの人たちにとって、この事件は、見事な仕事をし、コミュニティを支援する組織でさえ、サイバー犯罪者の標的になり得ることを思い出させるものです。ご覧のように、これらの組織で働く従業員とボランティアは、多くの場合、最初に侵害されます。リスクを知っていることが特に重要です。

February 11, 2020

返信を残す