Uma violação de dados atinge um provedor de educação pré-escolar de baixa renda de San Diego

Educational Enrichment Systems Data Breach

A Educational Enrichment Systems, Inc. (EES) não parece a presa mais atraente para os cibercriminosos. Nas últimas quatro décadas, o EES desenvolveu e ofereceu programas educacionais para crianças que crescem em famílias de baixa renda. É uma organização sem fins lucrativos que trabalha predominantemente com bebês e crianças em idade pré-escolar, que está muito longe das corporações e instituições financeiras sem rosto que você normalmente esperaria ver sendo atingida. Apesar disso, os cibercriminosos decidiram atacar o EES, e os resultados poderiam ter sido bastante devastadores.

Os hackers comprometeram o e-mail de um funcionário da EES

Na semana passada, a EES atualizou seu site e incluiu um link para um aviso de violação de dados, o que explica exatamente o que aconteceu. Segundo ele, em agosto de 2019, a equipe de TI da EES notou atividades incomuns em torno da conta de e-mail de um funcionário. A investigação que se seguiu revelou que o compromisso inicial ocorreu em 27 de maio de 2019, e os hackers mantiveram acesso não autorizado à caixa de entrada pelo próximo mês e meio.

A redação sugere que os especialistas em TI da EES sabem muito bem o que aconteceu, mas a notificação em si não fornece muitos detalhes. Não diz, por exemplo, como os hackers conseguiram entrar na caixa de entrada do funcionário da EES. Só podemos adivinhar se isso aconteceu por causa de uma senha fraca, um ataque de phishing ou uma vulnerabilidade nos sistemas de email do EES. Ficamos sem saber por que os hackers saíram em meados de julho, por que o EES não soube do ataque até o final de agosto e por que o público em geral é informado sobre isso agora, mais de cinco meses após a descoberta da violação.

"Nenhuma evidência" de uso indevido dos dados, mas vale a pena ter cuidado

O que o aviso de violação nos disse é que tipo de dados estava potencialmente em risco. Acontece que a conta de email comprometida continha muitas informações confidenciais, incluindo nomes, email e endereços físicos, números de previdência social, dados financeiros e de seguro de saúde, registros educacionais e históricos médicos.

O provedor de serviços educacionais apontou, no entanto, que a investigação não revelou "nenhuma evidência" dos dados serem acessados ou mal utilizados. Dito isto, o risco potencial de expor esses detalhes é tão grande que arriscar não é uma boa idéia.

É por isso que o EES está no processo de informar cada indivíduo afetado, e o aviso de violação de dados inclui uma lista bastante extensa de precauções que as pessoas podem tomar para minimizar as chances de roubo de identidade.

Como o escopo real da violação permanece desconhecido, qualquer pessoa que trabalhou com o EES no passado deve dar uma olhada nessas etapas e considerar o que pode fazer para se manter seguro. Para o resto de nós, esse incidente deve servir como mais um lembrete de que mesmo organizações que fazem um trabalho admirável e ajudam comunidades podem ser alvo de criminosos cibernéticos. Como você pode ver, os funcionários e voluntários que trabalham para essas organizações geralmente são os primeiros a serem comprometidos, e é especialmente importante que eles conheçam os riscos.

February 11, 2020

Deixe uma Resposta