Et dataovertredelse treffer en leverandør av førskoleutdanning med lav inntekt i San Diego

Educational Enrichment Systems, Inc. (EES) ser ikke ut som det mest attraktive byttet for nettkriminelle. I løpet av de siste fire tiårene har EES utviklet og tilbudt utdanningsprogrammer til barn som vokser opp i familier med lav inntekt. Det er en ideell organisasjon som hovedsakelig jobber med småbarn og barn i førskolealder, som er langt fra de ansiktsløse selskapene og finansinstitusjonene som du normalt sett forventer å bli rammet. Til tross for dette bestemte netkriminelle seg for å angripe EES, og resultatene kunne ha vært ganske ødeleggende.

Hackere kompromitterte e-postens ansattes e-post

Forrige uke oppdaterte EES nettstedet sitt og inkluderte en lenke til et varsel om datainnbrudd, som forklarer hva som skjedde nøyaktig. I følge 2019 merket EES 'IT-team uvanlig aktivitet rundt en ansattes e-postkonto. Etterforskningen som fulgte avslørte at det innledende kompromisset fant sted 27. mai 2019, og hackerne beholdt uautorisert tilgang til innboksen i den neste halvannen måneden.

Ordlyden antyder at EESs IT-eksperter vet godt hva som skjedde, men varselet i seg selv gir ikke så mye i veien for detaljer. Det sier ikke for eksempel hvordan hackerne klarte å komme seg inn i EES-ansattes innboks. Vi kan bare gjette om det skjedde på grunn av et svakt passord, et phishing-angrep eller et sårbarhet i EES 'e-postsystemer. Vi har ingen anelse om hvorfor hackerne flyttet ut i midten av juli, hvorfor EES ikke lærte om angrepet før i slutten av august, og hvorfor allmennheten blir informert om det nå, mer enn fem måneder etter at bruddet ble oppdaget.

"Ingen bevis" for misbruk av data, men det lønner seg å være forsiktig

Det bruddvarselet fortalte oss er hva slags data som potensielt ble utsatt. Det viser seg at den kompromitterte e-postkontoen inneholdt ganske mye sensitiv informasjon, inkludert navn, e-post og fysiske adresser, personnummer, økonomiske og helseforsikringsdata, utdanningsjournaler og medisinske historier.

Utdanningstjenesteleverandøren påpekte imidlertid at etterforskningen har avslørt "ingen bevis" for at dataene ble tilgang til eller misbrukt. Når det er sagt, er den potensielle faren for å få disse detaljene eksponert så stor, at det ikke er veldig god ide å ta noen sjanser.

Derfor er EES i ferd med å informere hver enkelt berørte person, og varselet om brudd på data inkluderer en ganske omfattende liste over forholdsregler folk kan ta for å minimere sjansene for identitetstyveri.

Fordi det faktiske omfanget av bruddet forblir ukjent, bør alle som har jobbet med EES tidligere, ta en titt på disse trinnene og vurdere hva de kan gjøre for å holde seg trygge. For resten av oss skal denne hendelsen tjene som nok en påminnelse om at selv organisasjoner som gjør beundringsverdig arbeid og hjelper lokalsamfunn kan bli målrettet av nettkriminelle. Som du ser er ansatte og frivillige som jobber for disse organisasjonene ofte de første som blir kompromittert, og det er spesielt viktig at de kjenner til risikoen.