Ansatte og studenter ved University of York står overfor et datainnbrudd som lekket mange personlige detaljer
Tirsdag la University of York ut en varsling på sin hjemmeside som det informerte ansatte, studenter og studenter om at dataene deres kan ha blitt brutt. Hendelsen skjedde i mai, og den involverte personlige detaljer som navn og fødselsdato, kontaktinformasjon som telefoner, e-postadresser og LinkedIn-profiler, samt ganske mye data relatert til ofrenes akademiske aktiviteter.
Antall berørte personer er fortsatt ukjent, men University of York forsikret oss om at ingen kredittkortinformasjon ble stjålet under bruddet. Likevel er potensialet for identitetstyveri veldig reelt for de involverte, og det eneste de kan stole på for å beskytte dem er nettkriminellers ærlighet.
Table of Contents
Bruddet skjedde hos en tredjepart
University of Yorks IT-systemer ble aldri kompromittert. Angrepet var rettet mot en partner ved universitetet kalt Blackbaud. Blackbaud er leverandør av CRM-løsninger (Customer Relationship Management) til akademiske og ideelle organisasjoner, og 16. juli avgav den en offentlig uttalelse om bruddet.
CRM-leverandøren kunngjorde at den i mai ble rammet av et ransomware-angrep, og den fortsatte deretter med å forklare hvordan den reagerte. Tilsynelatende oppdaget Blackbaud innbruddet raskt, og ved hjelp av cybersecurity-spesialister klarte det å sparke angriperne ut. Til tross for lynreaksjonene, klarte kjeltringene å gjøre noe med noen data, inkludert de personlige og kontaktopplysningene til University of York studenter og ansatte.
Blackbaud betalte løsepenger
Blackbaud startet varselet med en forklaring på hvor stor nettkriminalitetsindustrien er, og den fortsatte deretter med å fortelle oss hvordan den gjorde sin lille ting for å støtte den. Takket være Blackbauds raske reaksjon, klarte ikke hackerne å kryptere noen filer. De hadde imidlertid stjålne data med seg, og naturlig nok bestemte de seg for å bruke dem som innflytelse for utpressing.
Som det viser seg, var dette en god idé. Blackbaud innrømmet i sin anmeldelse at den betalte løsepenger for et uspesifisert beløp.
Var det å betale løsepengene en så god idé?
Å betale for løsepengene er en veldig edel ting å gjøre. Faktisk fratar CRM-leverandøren seg noe av det hardt opptjente overskuddet for å sikre at kundenes data ikke blir misbrukt.
Dessverre kan det ikke være noen garanti for at dataene faktisk er trygge. Ifølge Blackbaud ga cyberkriminelle "en bekreftelse" etter at løsepengene ble betalt, at kopien av dataene de hadde stjålet, ble slettet. Dessverre har både Blackbaud og menneskene hvis data ble kompromittert ikke noe annet valg enn å ta skurkenes ord for det. Med tanke på at vi snakker om en gruppe hensynsløse nettkriminelle, er det vanskelig å stole på dem, og det er grunnen til at University of Yorks studenter, ansatte og studenter fortsatt anbefales å være på utkikk etter tegn til identitetstyveri.