Medewerkers en studenten van de Universiteit van York worden geconfronteerd met een datalek dat veel persoonlijke gegevens heeft gelekt
Dinsdag plaatste de University of York een melding op haar website waarmee het personeel, studenten en alumni informeerde dat hun gegevens mogelijk waren geschonden. Het incident vond plaats in mei en omvatte persoonlijke gegevens zoals namen en geboortedata, contactgegevens zoals telefoons, e-mailadressen en LinkedIn-profielen, evenals heel veel gegevens met betrekking tot de academische activiteiten van de slachtoffers.
Het aantal getroffen personen blijft onbekend, maar de Universiteit van York verzekerde ons dat er tijdens de inbreuk geen creditcardgegevens waren gestolen. Toch is het potentieel voor identiteitsdiefstal zeer reëel voor de betrokken mensen, en het enige waarop ze kunnen vertrouwen om hen te beschermen, is de eerlijkheid van de cybercriminelen.
Table of Contents
De inbreuk vond plaats bij een derde partij
De IT-systemen van de University of York zijn nooit gecompromitteerd. De aanval was gericht op een partner van de universiteit, Blackbaud genaamd. Blackbaud is een leverancier van Customer Relationship Management (CRM) -oplossingen voor academische en non-profitorganisaties en op 16 juli publiceerde het een openbare verklaring over de inbreuk.
De CRM-provider kondigde aan dat het in mei werd getroffen door een ransomware-aanval en legde vervolgens uit hoe het reageerde. Blijkbaar ontdekte Blackbaud de inbraak snel en met de hulp van cybersecurity-specialisten slaagde het erin de aanvallers eruit te schoppen. Ondanks de bliksemreacties slaagden de oplichters erin om wat gegevens te verzamelen, waaronder de persoonlijke en contactgegevens van studenten en medewerkers van de Universiteit van York.
Blackbaud heeft het losgeld betaald
Blackbaud begon zijn melding met een uitleg over hoe groot de cybercriminaliteitsindustrie is, en vertelde ons vervolgens hoe het zijn kleine ding deed om het te ondersteunen. Dankzij de snelle reactie van Blackbaud konden de hackers geen bestanden versleutelen. Ze hadden de gestolen gegevens wel bij zich en natuurlijk besloten ze deze te gebruiken als hefboom voor afpersing.
Het bleek dat dit een goed idee was. Blackbaud gaf in zijn kennisgeving toe dat hij losgeld had betaald voor een onbepaald bedrag.
Was het losgeld betalen zo'n goed idee?
Op het eerste gezicht is het betalen van losgeld een heel nobel iets om te doen. In feite ontneemt de CRM-provider zichzelf een deel van zijn zuurverdiende winsten om ervoor te zorgen dat de gegevens van zijn klanten niet worden misbruikt.
Helaas kan niet worden gegarandeerd dat de gegevens daadwerkelijk veilig zijn. Volgens Blackbaud gaven de cybercriminelen, nadat het losgeld was betaald, "een bevestiging" dat de kopie van de door hen gestolen gegevens was verwijderd. Helaas hebben zowel Blackbaud als de mensen van wie de gegevens zijn gecompromitteerd, geen andere keuze dan het woord van de boeven te geloven. Aangezien we het hebben over een groep meedogenloze cybercriminelen, is het moeilijk om ze te vertrouwen.Daarom wordt de studenten, het personeel en de alumni van de Universiteit van York nog steeds geadviseerd om op zoek te gaan naar tekenen van identiteitsdiefstal.