Een datalek raakt een in San Diego gevestigde low-income voorschoolse onderwijsaanbieder

Educational Enrichment Systems Data Breach

Educational Enrichment Systems, Inc. (EES) lijkt niet de meest aantrekkelijke prooi voor cybercriminelen. De afgelopen vier decennia heeft EES educatieve programma's ontwikkeld en aangeboden aan kinderen die opgroeien in gezinnen met een laag inkomen. Het is een non-profitorganisatie die voornamelijk met peuters en kinderen in de voorschoolse leeftijd werkt, wat ver verwijderd is van de anonieme bedrijven en financiële instellingen die je normaal gesproken zou verwachten geraakt te worden. Desondanks besloten de cybercriminelen om EES aan te vallen, en de resultaten konden behoorlijk verwoestend zijn.

Hackers hebben de e-mail van een EES-medewerker aangetast

Vorige week heeft EES zijn website bijgewerkt en een link opgenomen naar een kennisgeving van een datalek, waarin wordt uitgelegd wat er precies is gebeurd. Volgens het merkte het IT-team van EES in augustus 2019 ongebruikelijke activiteit rond het e-mailaccount van een werknemer. Uit het daaropvolgende onderzoek bleek dat het aanvankelijke compromis plaatsvond op 27 mei 2019 en de hackers de komende anderhalve maand onbevoegde toegang tot de inbox hadden behouden.

De formulering suggereert dat de IT-experts van EES heel goed weten wat er is gebeurd, maar de melding zelf biedt niet veel details. Het zegt bijvoorbeeld niet hoe de hackers erin zijn geslaagd om in de inbox van de EES-medewerker te komen. We kunnen alleen raden of het is gebeurd vanwege een zwak wachtwoord, een phishing-aanval of een kwetsbaarheid in de e-mailsystemen van EES. We hebben geen idee waarom de hackers half juli zijn vertrokken, waarom EES pas eind augustus over de aanval heeft gehoord en waarom het grote publiek er nu over wordt geïnformeerd, meer dan vijf maanden na de ontdekking van de inbreuk.

"Geen bewijs" van misbruik van gegevens, maar het loont om voorzichtig te zijn

Wat de kennisgeving van de inbreuk ons heeft verteld, is welk soort gegevens mogelijk in gevaar is gebracht. Het bleek dat het gecompromitteerde e-mailaccount heel wat gevoelige informatie bevatte, waaronder namen, e-mail en fysieke adressen, burgerservicenummers, financiële en ziekteverzekeringsgegevens, educatieve gegevens en medische geschiedenissen.

De educatieve dienstverlener heeft er echter op gewezen dat uit het onderzoek "geen bewijs" is gebleken van toegang tot of misbruik van de gegevens. Dat gezegd hebbende, het potentiële gevaar van het blootleggen van deze details is zo groot, dat het nemen van risico's geen goed idee is.

Daarom informeert EES elk getroffen individu en de kennisgeving van datalek bevat een vrij uitgebreide lijst met voorzorgsmaatregelen die mensen kunnen nemen om de kans op identiteitsdiefstal te minimaliseren.

Omdat de werkelijke omvang van de inbreuk onbekend blijft, moet iedereen die in het verleden met EES heeft gewerkt, deze stappen bekijken en overwegen wat ze kunnen doen om zichzelf veilig te houden. Voor de rest van ons zou dit incident nog een herinnering moeten zijn dat zelfs organisaties die bewonderenswaardig werk doen en gemeenschappen helpen, het doelwit kunnen zijn van cybercriminelen. Zoals u kunt zien, zijn werknemers en vrijwilligers die voor deze organisaties werken vaak de eersten die een compromis sluiten, en het is vooral belangrijk dat ze de risico's kennen.

February 11, 2020

Laat een antwoord achter