Jorko universiteto darbuotojai ir studentai susiduria su duomenų pažeidimais, kurie atskleidė daug asmeninės informacijos

University of York's Third-Party Data Breach

Antradienį Jorko universitetas savo tinklalapyje paskelbė pranešimą, kuriame informavo darbuotojus, studentus ir absolventus, kad gali būti pažeisti jų duomenys. Incidentas įvyko gegužę ir apėmė asmeninę informaciją, pavyzdžiui, vardus ir gimimo datas, kontaktinę informaciją, pavyzdžiui, telefonus, el. Pašto adresus ir „LinkedIn“ profilius, taip pat nemažai duomenų, susijusių su aukų akademine veikla.

Nukentėjusiųjų skaičius vis dar nežinomas, tačiau Jorko universitetas mus patikino, kad pažeidimo metu nebuvo pavogta jokia kreditinių kortelių informacija. Nepaisant to, tapatybės vagystės galimybė dalyvaujantiems žmonėms yra labai reali, ir vienintelis dalykas, į kurį jie gali pasikliauti, kad būtų apsaugoti, yra kibernetinių nusikaltėlių sąžiningumas.

Pažeidimas įvyko trečiojo asmens atžvilgiu

Jorko universiteto IT sistemos niekada nebuvo pažeistos. Ataka buvo nukreipta į universiteto partnerį, vadinamą „Blackbaud“. „Blackbaud“ yra ryšių su klientais valdymo (CRM) sprendimų tiekėjas akademinėms ir ne pelno organizacijoms, o liepos 16 d. Paskelbė viešą pranešimą apie pažeidimą.

CRM teikėjas paskelbė, kad gegužę jį užklupo išpirkos programos išpuolis, ir tada paaiškino, kaip reagavo. Matyt, „Blackbaud“ greitai aptiko įsilaužimą ir, padedant kibernetinio saugumo specialistams, sugebėjo išstumti užpuolikus. Nepaisant žaibiškų reakcijų, sukčiams pavyko surinkti kai kuriuos duomenis, įskaitant asmeninius ir kontaktinius Jorko universiteto studentų ir darbuotojų duomenis.

Blackbaud sumokėjo išpirką

„Blackbaud“ savo pranešimą pradėjo aiškindamas, kokia didelė yra elektroninių nusikaltimų pramonė, ir tada mums papasakojo, kaip ji padarė savo mažą dalyką palaikydama. Greitos „Blackbaud“ reakcijos dėka įsilaužėliai nesugebėjo užšifruoti jokių failų. Pavogtus duomenis jie turėjo, tačiau natūraliai jie nusprendė panaudoti kaip turto prievartavimo atvejį.

Kaip paaiškėja, tai buvo gera mintis. „Blackbaud“ pranešime pripažino, kad sumokėjo nenurodytos sumos išpirką.

Ar mokėti išpirką buvo tokia gera idėja?

Iš pirmo žvilgsnio mokėti išpirką yra labai kilnus dalykas. Iš tikrųjų CRM teikėjas netenka dalies sunkiai uždirbto pelno, siekdamas užtikrinti, kad jo klientų duomenys nebūtų naudojami netinkamai.

Deja, negali būti garantijos, kad duomenys iš tikrųjų yra saugūs. Anot Blackbaud, sumokėjus išpirką, kibernetiniai nusikaltėliai pateikė „patvirtinimą“, kad jų pavogtų duomenų kopija buvo ištrinta. Deja, tiek Blackbaud, tiek žmonės, kurių duomenys buvo pažeisti, neturi kito pasirinkimo, kaip tik tarti sukčių žodį. Atsižvelgiant į tai, kad mes kalbame apie negailestingų kibernetinių nusikaltėlių grupę, sunku jais pasitikėti, todėl Jorko universiteto studentams, darbuotojams ir absolventams vis dar patariama būti budriems dėl bet kokių tapatybės vagystės ženklų.

July 23, 2020

Palikti atsakymą