En dataöverträdelse träffar en San Diego-baserad låginkomstförskola
Educational Enrichment Systems, Inc. (EES) ser inte ut som det mest attraktiva bytet för cyberbrottslingar. Under de senaste fyra decennierna har EES utvecklat och erbjudit utbildningsprogram till barn som växer upp i familjer med låg inkomst. Det är en ideell organisation som främst arbetar med småbarn och barn i förskoleåldern, vilket är långt ifrån de ansiktslösa företag och finansinstitut som du normalt sett skulle förvänta dig att bli träffad. Trots detta beslutade cyberbrottslingarna att attackera EES, och resultaten kunde ha varit ganska förödande.
Hackare komprometterade en EES-anställds e-post
Förra veckan uppdaterade EES sin webbplats och inkluderade en länk till ett meddelande om dataöverträdelse, som förklarar vad som hände exakt. I augusti 2019 märkte EES IT-team ovanliga aktiviteter kring en anställds e-postkonto. Undersökningen som följde avslöjade att den inledande kompromissen ägde rum den 27 maj 2019 och hackarna behöll obehörig åtkomst till inkorgen under nästa och en halv månad.
Ordalydelsen antyder att EES: s IT-experter vet mycket väl vad som hände, men själva meddelandet ger inte en hel del i vägen för detaljer. Det säger till exempel inte hur hackarna lyckades komma in i EES-anställdens inkorg. Vi kan bara gissa om det hände på grund av ett svagt lösenord, en phishing-attack eller en sårbarhet i EES 'e-postsystem. Vi har ingen aning om varför hackarna flyttade ut i mitten av juli, varför EES inte fick veta om attacken förrän i slutet av augusti och varför allmänheten informeras om det nu, mer än fem månader efter upptäckten av överträdelsen.
"Inga bevis" för missbruk av data, men det lönar sig att vara försiktig
Vad brottmeddelandet berättade för oss är vilken typ av data som potentiellt riskerades. Det visar sig att det kompromitterade e-postkontot innehöll en hel del känslig information, inklusive namn, e-postadress och fysiska adresser, personnummer, finansiella uppgifter och hälsoförsäkring, utbildningsregister och medicinska historier.
Tillhandahållaren av utbildningstjänster påpekade dock att undersökningen har avslöjat "inga bevis" för att uppgifterna har åtkomst eller missbrukats. Som sagt, den potentiella faran med att få dessa detaljer exponerad är så enorm, att det inte är så bra idé att ta några chanser.
Det är därför EES håller på att informera varje enskilt drabbad individ, och meddelandet om överträdelse av data innehåller en ganska omfattande lista över försiktighetsåtgärder som människor kan vidta för att minimera risken för identitetsstöld.
Eftersom den faktiska omfattningen av överträdelsen förblir okänd, bör alla som tidigare arbetat med EES titta på dessa steg och överväga vad de kan göra för att skydda sig. För resten av oss bör denna händelse tjäna som ännu en påminnelse om att även organisationer som gör beundransvärt arbete och hjälper samhällen kan riktas av cyberbrottslingar. Som ni ser är anställda och frivilliga som arbetar för dessa organisationer ofta de första som kompromitteras, och det är särskilt viktigt att de känner till riskerna.