Τουλάχιστον 10 πανεπιστήμια στο Ηνωμένο Βασίλειο, τις ΗΠΑ και τον Καναδά έπεσαν θύματα παραβίασης δεδομένων, μετά το hack στον cloud computing πάροχο Blackbaud.
Ο μη κυβερνητικός οργανισμός Human Rights Watch και η φιλανθρωπική οργάνωση για την ψυχική υγεία των παιδιών, Young Minds, επιβεβαίωσαν, επίσης, ότι επηρεάστηκαν από την επίθεση.
Το hack στόχευσε την εταιρεία Blackbaud, έναν από τους μεγαλύτερους παρόχους λογισμικών εκπαίδευσης, συγκέντρωσης χρημάτων και οικονομικής διαχείρισης.
Το hack στα συστήματα της Blackbaud έλαβε χώρα τον Μάιο.
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
Ο πάροχος έχει επικριθεί έντονα γιατί δεν αποκάλυψε άμεσα το περιστατικό. Η αποκάλυψη στα μέρη που επηρεάστηκαν, έγινε μέσα στον Ιούλιο. Η εταιρεία είπε ότι πλήρωσε λύτρα, αλλά δεν ανέφερε το ακριβές χρηματικό ποσό.
Σε ορισμένες περιπτώσεις, τα παραβιασμένα δεδομένα περιορίστηκαν σε εκείνα των πρώην φοιτητών, οι οποίοι κλήθηκαν να υποστηρίξουν οικονομικά τα ιδρύματα από τα οποία είχαν αποφοιτήσει. Αλλά σε άλλες περιπτώσεις, εκτέθηκαν δεδομένα του προσωπικού, των τωρινών φοιτητών και άλλων συνεργατών.
Τα πανεπιστήμια και τα ιδρύματα που επηρεάστηκαν από το hack στο Blackbaud, είναι τα:
- University of York
- Oxford Brookes University
- Loughborough University
- University of Leeds
- University of London
- University of Reading
- University College, Oxford
- Ambrose University in Alberta, Canada
- Human Rights Watch
- Young Minds
- Rhode Island School of Design in the US
- University of Exeter
Όλα τα ιδρύματα στέλνουν επιστολές και emails για να ζητήσουν συγγνώμη από τους χρήστες των οποίων τα δεδομένα βρίσκονταν στις παραβιασμένες βάσεις δεδομένων.
Σε ορισμένες περιπτώσεις, τα κλεμμένα δεδομένα περιελάμβαναν αριθμούς τηλεφώνου, ιστορικό δωρεών και εκδηλώσεις στις οποίες είχαν παρευρεθεί τα θύματα. Στοιχεία πιστωτικών καρτών και άλλα στοιχεία πληρωμών δεν φαίνεται να έχουν εκτεθεί.
Η Blackbaud, της οποίας τα κεντρικά γραφεία εδρεύουν στη Νότια Καρολίνα, αρνήθηκε να παράσχει πλήρεις λίστες με όσους επηρεάστηκαν, λέγοντας ότι ήθελε να “σεβαστεί το απόρρητο των πελατών της”.
“Η πλειοψηφία των πελατών μας δεν επηρεάστηκε από αυτό το περιστατικό”, ισχυρίστηκε η εταιρεία.
Η Blackbaud είπε: “Τον Μάιο του 2020, ανακαλύψαμε και σταματήσαμε μια επίθεση ransomware. Ο εγκληματίας πρόλαβε να αφαιρέσει ένα αντίγραφο ενός υποσυνόλου δεδομένων μας”.
Η δήλωση συνεχίζει λέγοντας ότι η Blackbaud πλήρωσε τα λύτρα. Αυτό δεν είναι παράνομο, αλλά έρχεται σε αντίθεση με τις συμβουλές των ειδικών ασφαλείας και των υπηρεσιών επιβολής νόμου, συμπεριλαμβανομένων των FBI, NCA και Europol.
Η Blackbaud πρόσθεσε ότι οι hackers τους διαβεβαίωσαν ότι κατέστρεψαν τα δεδομένα μετά την πληρωμή.
Αρκετοί πελάτες (μεταξύ των οποίων και κάποια πανεπιστήμια) της Blackbaud επιβεβαίωσαν ότι δεν επηρεάστηκαν από το hack:
- University College London
- Queen’s University Belfast
- University of the West of Scotland
- Islamic Relief
- Prevent Breast Cancer
Ο Rhys Morgan, ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο και πρώην φοιτητής του Oxford Brookes University (τα δεδομένα του βρίσκονται ακόμα στις βάσεις δεδομένων του πανεπιστημίου), αμφιβάλλει για την ασφάλεια των δεδομένων του.
“Είπαν στο πανεπιστήμιο μου ότι δεν υπάρχει λόγος να πιστεύουν ότι τα κλεμμένα δεδομένα χρησιμοποιήθηκαν ή θα χρησιμοποιηθούν για κακό σκοπό”.
“Δεν με καθησυχάζει καθόλου αυτό. Πώς μπορούν να ξέρουν τι θα κάνουν οι επιτιθέμενοι με αυτές τις πληροφορίες”;
Μετά το hack, η Blackbaud είπε ότι συνεργάζεται με αρχές επιβολής του νόμου και με ερευνητές για να ανακαλύψει εάν τα δεδομένα κυκλοφορούν ή πωλούνται στο διαδίκτυο και στο dark web.
Νόμος περί απορρήτου
Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), οι εταιρείες πρέπει να αναφέρουν τα περιστατικά παραβίασης δεδομένων στις αρχές εντός 72 ωρών από την ανακάλυψη των συμβάντων, διαφορετικά θα λάβουν πρόστιμο.
Απ’ ότι φαίνεται, οι αρχές του Ηνωμένου Βασιλείου [ICO] και του Καναδά ενημερώθηκαν για την παραβίαση το περασμένο Σαββατοκύριακο, πολλές εβδομάδες μετά την ανακάλυψη του hack από τη Blackbaud.