Personal och studenter vid University of York står inför ett dataintrång som läckte många personliga detaljer

University of York's Third-Party Data Breach

På tisdagen publicerade University of York en anmälan på sin webbplats med vilken den informerade personal, studenter och studenter om att deras data kan ha kränkts. Händelsen inträffade i maj, och det handlade om personliga detaljer som namn och födelsedatum, kontaktinformation som telefoner, e-postadresser och LinkedIn-profiler, samt en hel del data relaterade till offrens akademiska aktiviteter.

Antalet drabbade personer förblir okänt, men University of York försäkrade oss att ingen kreditkortsinformation stulits under överträdelsen. Trots detta är potentialen för identitetsstöld mycket verklig för de inblandade människorna, och det enda de kan lita på för att skydda dem är cyberbrottslighetens ärlighet.

Överträdelsen hände hos en tredje part

University of Yorks IT-system komprometterades aldrig. Attacken var riktad mot en partner vid universitetet som heter Blackbaud. Blackbaud är leverantör av CRM-lösningar (Customer Relationship Management) till akademiska och ideella organisationer och den 16 juli offentliggjorde det ett offentligt uttalande om överträdelsen.

CRM-leverantören tillkännagav att i maj drabbades den av en ransomware-attack, och den fortsatte sedan med att förklara hur den reagerade. Uppenbarligen upptäckte Blackbaud intrång snabbt och med hjälp av cybersäkerhetsspecialister lyckades det sparka ut attackerna. Trots blixtreaktionerna lyckades skurkarna lyckas med vissa uppgifter, inklusive personuppgifter och kontaktuppgifter för University of York-studenter och personal.

Blackbaud betalade lösen

Blackbaud inledde meddelandet med en förklaring av hur stor cyberbrottsindustrin är, och fortsatte sedan med att berätta hur den gjorde sin lilla sak för att stödja den. Tack vare Blackbauds snabba reaktion misslyckades hackarna att kryptera några filer. De hade dock de stulna uppgifterna med sig, och naturligtvis beslutade de att använda den som hävstång för utpressning.

Det visar sig att det var en bra idé. Blackbaud medgav i sin anmälan att den betalade en lösning på ett ospecificerat belopp.

Var det en bra idé att betala lösen?

I motsats till detta är att betala lösgöring en mycket ädel sak att göra. I själva verket berövar CRM-leverantören sig några av sina hårt förvärvade vinster för att säkerställa att kundernas data inte missbrukas.

Tyvärr kan det inte garanteras att uppgifterna verkligen är säkra. Enligt Blackbaud lämnade cyberbrottslingarna "en bekräftelse" efter att lösenordet hade betalats ut att kopian av de uppgifter de stulit raderades. Tyvärr har både Blackbaud och de personer vars data komprometterats inget annat val än att ta skurkarnas ord för det. Med tanke på att vi talar om en grupp hänsynslösa cyberbrottslingar är det svårt att lita på dem, varför universitetet i Yorks studenter, personal och studenter fortfarande rekommenderas att vara på jakt efter några tecken på identitetsstöld.

July 23, 2020

Lämna ett svar