Naruszenie danych uderza w niskopodatnego dostawcę edukacji przedszkolnej z siedzibą w San Diego
Educational Enrichment Systems, Inc. (EES) nie wygląda na najbardziej atrakcyjną ofiarę dla cyberprzestępców. Przez ostatnie cztery dekady EES opracowywał i oferował programy edukacyjne dla dzieci dorastających w rodzinach o niskich dochodach. Jest to organizacja non-profit, która działa głównie z małymi dziećmi i dziećmi w wieku przedszkolnym, co jest dalekie od beztwarzowych korporacji i instytucji finansowych, które normalnie spodziewałyby się, że zostaną uderzone. Mimo to cyberprzestępcy postanowili zaatakować EES, a wyniki mogły być dość druzgocące.
Hakerzy złamali e-mail pracownika EES
W zeszłym tygodniu EES zaktualizował swoją stronę internetową i zamieścił link do zawiadomienia o naruszeniu danych, który wyjaśnia, co dokładnie się wydarzyło. Zgodnie z nim w sierpniu 2019 r. Zespół IT EES zauważył niezwykłą aktywność wokół konta e-mail pracownika. Dochodzenie, które nastąpiło później, ujawniło, że wstępny kompromis miał miejsce 27 maja 2019 r., A hakerzy zachowali nieautoryzowany dostęp do skrzynki odbiorczej przez następne półtora miesiąca.
Sformułowanie sugeruje, że eksperci IT EES bardzo dobrze wiedzą, co się stało, ale samo powiadomienie nie zawiera zbyt wielu szczegółów. Nie mówi na przykład, w jaki sposób hakerzy dostali się do skrzynki odbiorczej pracownika EES. Możemy tylko zgadywać, czy stało się tak z powodu słabego hasła, ataku phishingowego lub luki w systemach e-mail EES. Nie mamy pojęcia, dlaczego hakerzy wyprowadzili się w połowie lipca, dlaczego EES dowiedział się o ataku do końca sierpnia i dlaczego opinia publiczna jest o tym informowana teraz, ponad pięć miesięcy po odkryciu naruszenia.
„Brak dowodów” niewłaściwego wykorzystania danych, ale warto zachować ostrożność
Powiadomienie o naruszeniu poinformowało nas, jakie dane były potencjalnie zagrożone. Jak się okazuje, przejęte konto e-mail zawierało wiele poufnych informacji, w tym nazwiska, adresy e-mail i adresy fizyczne, numery ubezpieczenia społecznego, dane finansowe i ubezpieczenia zdrowotnego, dokumenty edukacyjne i historie medyczne.
Dostawca usług edukacyjnych zwrócił jednak uwagę, że dochodzenie ujawniło „brak dowodów” na dostęp do danych lub ich niewłaściwe wykorzystanie. To powiedziawszy, potencjalne niebezpieczeństwo ujawnienia tych szczegółów jest tak ogromne, że ryzykowanie nie jest zbyt dobrym pomysłem.
Dlatego EES jest w trakcie informowania każdej osoby, której to dotyczy, a powiadomienie o naruszeniu danych zawiera dość obszerną listę środków ostrożności, które można podjąć, aby zminimalizować ryzyko kradzieży tożsamości.
Ponieważ faktyczny zakres naruszenia pozostaje nieznany, każdy, kto pracował z EES w przeszłości, powinien spojrzeć na te kroki i zastanowić się, co może zrobić, aby zapewnić sobie bezpieczeństwo. Dla reszty z nas ten incydent powinien być kolejnym przypomnieniem, że nawet organizacje wykonujące godną podziwu pracę i pomagające społecznościom mogą być celem cyberprzestępców. Jak widać, pracownicy i wolontariusze pracujący dla tych organizacji są często pierwszymi zagrożonymi, a szczególnie ważne jest, aby znali ryzyko.