Funcionários e alunos da Universidade de York enfrentam uma violação de dados que vazou muitos detalhes pessoais

University of York's Third-Party Data Breach

Na terça-feira, a Universidade de York publicou uma notificação em seu site com a qual informou funcionários, estudantes e ex-alunos de que seus dados podem ter sido violados. O incidente aconteceu em maio e envolveu detalhes pessoais como nomes e datas de nascimento, informações de contato como telefones, endereços de e-mail e perfis do LinkedIn, além de muitos dados relacionados às atividades acadêmicas das vítimas.

O número de indivíduos afetados permanece desconhecido, mas a Universidade de York nos garantiu que nenhuma informação do cartão de crédito foi roubada durante a violação. Mesmo assim, o potencial de roubo de identidade é muito real para as pessoas envolvidas, e a única coisa em que elas podem confiar para protegê-las é a honestidade dos criminosos cibernéticos.

A violação ocorreu em terceiros

Os sistemas de TI da Universidade de York nunca foram comprometidos. O ataque foi destinado a um parceiro da universidade chamado Blackbaud. A Blackbaud é fornecedora de soluções de CRM (Customer Relationship Management) para organizações acadêmicas e sem fins lucrativos e, em 16 de julho, emitiu uma declaração pública sobre a violação.

O provedor de CRM anunciou que, em maio, foi atingido por um ataque de ransomware e depois explicou como reagiu. Aparentemente, o Blackbaud detectou a invasão rapidamente e, com a ajuda de especialistas em segurança cibernética, conseguiu expulsar os atacantes. Apesar das reações dos raios, os bandidos conseguiram decolar com alguns dados, incluindo os detalhes pessoais e de contato de estudantes e funcionários da Universidade de York.

Blackbaud pagou o resgate

A Blackbaud iniciou sua notificação com uma explicação de quão grande é o setor de crimes cibernéticos e, em seguida, passou a nos dizer como fez sua pequena coisa para apoiá-lo. Graças à rápida reação do Blackbaud, os hackers não conseguiram criptografar nenhum arquivo. No entanto, eles tinham os dados roubados e, naturalmente, decidiram usá-los como alavanca para extorsão.

Como se viu, foi uma boa ideia. A Blackbaud admitiu na sua notificação que pagou o resgate de um montante não especificado.

Pagar o resgate era uma boa ideia?

Em face disso, pagar o resgate é uma coisa muito nobre a se fazer. De fato, o provedor de CRM priva-se de alguns de seus lucros suados para garantir que os dados de seus clientes não sejam mal utilizados.

Infelizmente, não há garantia de que os dados sejam realmente seguros. Segundo Blackbaud, depois que o resgate foi pago, os cibercriminosos forneceram "uma confirmação" de que a cópia dos dados que haviam roubado foi excluída. Infelizmente, Blackbaud e as pessoas cujos dados foram comprometidos não têm outra escolha senão aceitar a palavra dos bandidos. Dado que estamos falando de um grupo de cibercriminosos cruéis, é difícil confiar neles, e é por isso que os estudantes, funcionários e ex-alunos da Universidade de York ainda são aconselhados a estar atentos a qualquer sinal de roubo de identidade.

July 23, 2020

Deixe uma Resposta