亚利桑那州的一所技术学校将向 208,717 名现任和前任学生、教职员工和家长发送信件,他们的数据在 1 月份的一次闯入事件中被暴露,攻击者可以窃取近 50 种个人信息。
东谷理工学院(EVIT)表示,1月9日发生的“涉及未经授权访问网络的网络事件”是数据被盗的原因。
尽管 EVIT 没有具体说明这是哪种类型的攻击,但 LockBit 勒索软件组织于 1 月 19 日声称对这一事件负责,标语是:“文件将被发布!
该组织的网站现在只列出了早在 2 月份的受害者,因此目前尚不清楚 EVIT 的文件是否像 LockBit 承诺的那样发布,尽管我们找不到任何迹象表明他们是。
EVIT本身还表示,它“没有发现任何包含敏感信息的EVIT数据发布”,尽管第三方承包商确定有大量数据被盗。
总共有 48 种不同类别的数据可能被盗。这并不是说每个受影响的人都有这么多的被盗,但至少以下一种或多种方式遭到了损害:
- 班级列表
- 学生证号码
- 出生日期
- 种族/民族
- 成绩
- 课程安排
- 家庭电话号码
- 电子邮件地址
- 家庭住址
- 父母/监护人姓名
- 抄本
- IEP/504 计划
- SSN网络
- 驾照或州身份证
- 助学金信息
- 班级排名
- 出生地
- 锡
- 部落身份证号码
- 帐号
- 路由号码
- 健康保险信息
- 账户类型
- 纪律处分档案
- 医疗信息
- 缺勤原因
- 助学金帐号
- 健康/过敏信息
- 诊断
- 患者 ID 号
- 机构名称
- 健康保险保单号码或投保人号码或保单号码
- 美国外国人登记号码
- 病历编号
- 治疗地点
- 支付卡号
- 精神或身体状况
- 治疗类型
- 处方信息
- 护照号码
- 治疗信息
- 带有密码、PIN 码或登录信息的用户名
- 患者帐号
- 生物识别数据
- 精神或身体治疗
- 诊断代码
- 支付卡类型
- 军人身份证号码
在不了解事件的具体情况的情况下,不可能说攻击者是如何利用如此多样化的数据池来逃脱的。
数字闯入通常包括基本的个人数据,如姓名、出生日期和联系信息,以及银行帐号(可能)和/或社会安全号码。例如,最糟糕的人可能会访问医疗记录和完整的支付卡信息,但看到如此多的数据点受到损害是罕见的。
当被问及他对如何解决这个问题的看法时,应用程序安全专家肖恩·赖特(Sean Wright)告诉El Reg,“这可能是由于违规的范围以及他们存储的数据。
“最有可能的是,在其他情况下,攻击者只能访问部分数据,在这种情况下,看起来他们可能已经获得了所有数据的访问权限。它也可能是暴露数据的系统。这可能是因为他们获得了对数据库的访问权限,而不是 API。或者,如果他们确实获得了对 API 的访问权限,则该 API 会返回所有信息——我以前见过这种情况。
“不幸的是,如果没有完整的细节,这有点难说。我们只能推测。
“这也表明了最小化组织收集和存储的数据量的重要性。组织应该只收集他们绝对需要的业务需求的数据。
EVIT表示,它正在“不懈地”努力提高其安全性并减轻受影响个人的风险。
致受影响个人的信中写道:“迄今为止,EVIT已联系有关当局,锁定了VPN访问,部署了EDR软件,对事件进行了24/7监控,撤销了特权用户访问权限,更改了所有服务帐户密码,更改了所有用户密码,撤销了域信任,执行了域清理,并重建或替换了19个虚拟服务器,以便先前受影响的服务器都不会重新回到网络上。
“EVIT聘请了一家专门从事网络安全的第三方,帮助EVIT添加这些和其他计算机安全保护措施和协议,以加强其网络基础设施,并为敏感数据提供更好的保护,防止未经授权的访问。
“此外,在发现事件后,EVIT立即向所有在EVIT存档的电子邮件地址的现任和前任学生、教职员工、教职员工和家长提供了电子邮件通知。这些通知是出于谨慎考虑而发出的,因为EVIT进行了调查,以确定可能受影响的个人的名字。
与以往任何时候这样的违规行为一样,所有受事件影响的人都获得了通常的 12 个月的信用监控,发送给这些人的信详细说明了如何索赔。