Ένα χρόνο πριν, στις 7 Φεβρουαρίου 2020, χάκερς κατάφεραν να εισβάλουν στα συστήματα IT της Blackbaud και να κλέψουν εκατομμύρια δεδομένα από τους servers της. Η Blackbaud είναι μία αμερικανική πολυεθνική εταιρεία – παγκόσμιος ηγέτης στον τομέα του cloud computing. Το hack της Blackbaud επηρεάζει μέχρι σήμερα πολλούς οργανισμούς σε όλο τον κόσμο, συμπεριλαμβανομένων ιδρυμάτων και νοσοκομείων. Μεταξύ των θυμάτων συγκαταλέγονται επίσης πανεπιστήμια, κολέγια και σχολεία K-12. Έτσι, αξίζει να αναφέρουμε αναλυτικά το είδος αλλά και τον όγκο των ζημιών που υπέστησαν αυτές οι εκπαιδευτικές εγκαταστάσεις. Η ανάλυση βασίζεται σε δεδομένα που συλλέχθηκαν τους τελευταίους 6 μήνες. Οι αριθμοί που αποτυπώνουν τον αντίκτυπο του μαζικού hack, είναι οι ακόλουθοι:
- 419 είναι ο (μερικός) αριθμός των πανεπιστημίων / κολλεγίων / σχολείων K-12 που επηρεάζονται από την παραβίαση δεδομένων της Blackbaud
- 7.674.140 είναι ο αριθμός των ατόμων που επηρεάζονται
- 172 είναι οι οντότητες για τις οποίες μπορεί να δοθεί ο ακριβής αριθμός των εμπλεκόμενων ατόμων
- 87 είναι οι οντότητες για τις οποίες μπορεί να δοθεί ένας μερικός αριθμός των εμπλεκόμενων ατόμων
- 160 είναι οι οντότητες για τις οποίες δεν μπορεί να δοθεί κανένας αριθμός σχετικά με τα εμπλεκόμενα άτομα
Πριν από την ανάλυση των επιπτώσεων του hack, διεξήχθη έρευνα στους διάφορους θεσμικούς ιστότοπους των γενικών εισαγγελέων των ΗΠΑ, των πανεπιστημίων, των κολεγίων και των σχολείων Κ-12. Επιπλέον, ορισμένα δεδομένα έχουν παραχωρηθεί από ιδρύματα του Ηνωμένου Βασιλείου και της Ιρλανδίας.
Ας δούμε όμως λεπτομερώς το ιστορικό του hack που έπληξε τη Blackbaud και άλλους οργανισμούς μετέπειτα:
- Όπως αναφέραμε προηγουμένως, στις 7 Φεβρουαρίου 2020 οι χάκερς εισέβαλαν στα συστήματα της εταιρείας.
- Στις 20 Μαΐου 2020, μετά από περισσότερους από τρεις μήνες κατά τη διάρκεια των οποίων οι χάκερς μπόρεσαν να ενεργήσουν «ανενόχλητοι», το προσωπικό IT της Blackbaud εντόπισε τελικά μη εξουσιοδοτημένη πρόσβαση στις IT εγκαταστάσεις τους.
- Στις 16 Ιουλίου 2020, η Blackbaud δημοσίευσε το πρώτο δελτίο τύπου στο site της. Στην πρώτη δήλωση, η οποία πραγματοποιήθηκε περισσότερο από δύο μήνες μετά την ανακάλυψη της κλοπής δεδομένων, η πολυεθνική διαβεβαίωσε τους πελάτες της ότι κανένας τύπος προσωπικών αναγνωρίσιμων πληροφοριών (PII) δεν επηρεάστηκε από την παραβίαση δεδομένων.
- Μετά από τέσσερις ημέρες, σε ένα φόρουμ μιας αμερικανικής μη κερδοσκοπικής ένωσης επαγγελματιών πληροφορικής στην τριτοβάθμια εκπαίδευση, σημειώθηκαν οι πρώτες έντονες κριτικές για το έργο της Blackbaud σχετικά με το μεγαλύτερο μέρος του χρόνου που αφιερώνεται στην αναφορά της παραβίασης δεδομένων, αλλά και τις ελάχιστες πληροφορίες που παρείχε σε αυτούς εμπλέκονται άμεσα. Δεκάδες αμερικανικά πανεπιστήμια και κολέγια συμμετείχαν στην ανοιχτή συζήτηση στο φόρουμ.
- Στη συνέχεια, η συζήτηση συνεχίστηκε ιδιωτικά, έξω από το δημόσιο φόρουμ.
- Στις 29 Σεπτεμβρίου 2020, η Blackbaud δημοσίευσε μια δεύτερη δήλωση, στην οποία αρνούταν ότι η κλοπή δεδομένων από το υποσύνολο επηρεάζει δεδομένα PII, συμπεριλαμβανομένων πληροφοριών τραπεζικού λογαριασμού, αριθμών κοινωνικής ασφάλισης, ονομάτων χρήστη και / ή κωδικών πρόσβασης.
Ωστόσο, ύστερα από έρευνα για το hack, διαπιστώθηκε ότι σε πολλά πανεπιστήμια, κολέγια και κλοπή δεδομένων K-12 έχουν επίσης επηρεαστεί ιατρικές πληροφορίες, αριθμοί διαβατηρίων, αριθμοί άδειας οδήγησης και αριθμός φορολογικού μητρώου (TIN). Η έρευνα αποκάλυψε επίσης ότι η Blackbaud, για ορισμένες επηρεαζόμενες οντότητες, είχε διατηρήσει παλιά αντίγραφα ασφαλείας στους servers της.
Το Καθολικό Γυμνάσιο του Σαν Ντιέγκο – Καλιφόρνια δήλωσε ότι στους servers της αμερικανικής πολυεθνικής υπήρχαν αρκετά αντίγραφα ασφαλείας με μη κρυπτογραφημένα δεδομένα PII 15 ετών. Στο Shady Hill School στο Cambridge της Μασαχουσέτης (όπου επηρεάστηκαν 823 άτομα), τα μη κρυπτογραφημένα δεδομένα, συμπεριλαμβανομένων PII, ήταν αποθηκευμένα σε ένα database πριν από το 2012 και συνδέθηκαν με παρωχημένες εκδόσεις του Blackbaud software “Raiser’s Edge” και “Financial Edge” που χρησιμοποιείται από το σχολείο.
Για άλλα ιδρύματα, όπως το Γυμνάσιο του Αγίου Φραγκίσκου στο Σακραμέντο – Καλιφόρνια, το Τεχνολογικό Πανεπιστήμιο του Ντελφτ (όπου επηρεάζονται 60.000 άτομα) και το Πανεπιστήμιο της Ουτρέχτης στις Κάτω Χώρες (όπου επηρεάζονται 6.000 άτομα), τα αντίγραφα ασφαλείας χρονολογούνται από το 2017.
Σε πολλές άλλες περιπτώσεις, τα ιδρύματα δεν γνώριζαν την ύπαρξη databases που περιέχουν μη κρυπτογραφημένες ευαίσθητες πληροφορίες για το προσωπικό και τους μαθητές τους που διατηρεί η Blackbaud στους servers της. Μία τέτοια περίπτωση είναι αυτή του Westminster School στο Simsbury του Κονέκτικατ, όπου τα δεδομένα PII 802 ατόμων ήταν αποθηκευμένα στους servers της αμερικανικής πολυεθνικής χωρίς να το γνωρίζει το σχολείο.
Ένα άλλο ίδρυμα που δεν γνώριζε την ύπαρξη ενός μη κρυπτογραφημένου database που περιέχει PII για το προσωπικό και τους μαθητές του είναι το Avon Old Farms School επίσης στο Κονέκτικατ. Σε αυτήν την περίπτωση ο αριθμός των εμπλεκόμενων ατόμων ανέρχεται στις 2.804.
Η διατήρηση εξαιρετικά ευαίσθητων μη κρυπτογραφημένων δεδομένων σε «ξεπερασμένα» databases, η διατήρηση μη προστατευμένων δεδομένων εν αγνοία των άμεσα εμπλεκομένων, είναι το ακριβώς αντίθετο της σωστής διαχείρισης των επιχειρήσεων.
Εκτός από αυτό, μπορούμε να καταγράψουμε την κακή διαχείριση από την Blackbaud σχετικά με τη διαχείριση, τους τρόπους αλλά και τον χρόνο αποστολής ειδοποιήσεων στα ιδρύματα που επηρεάζονται από την παραβίαση δεδομένων. Μια καθυστέρηση που ανάγκασε τα πανεπιστήμια, τα κολέγια και τα σχολεία K-12 να παρέχουν ειδοποιήσεις στο προσωπικό, τους μαθητές και τους Γενικούς Εισαγγελείς, σε πολλές περιπτώσεις μόνο κατά τη διάρκεια αυτών των τελευταίων εβδομάδων.
Bishop Moore Καθολικό Γυμνάσιο Ορλάντο, Φλόριντα (όπου επηρεάζονται 5.981 άτομα)
- κοινοποιήσεις που στάλθηκαν στις 29.01.2021 (κάτοικοι της πολιτείας του Maine)
Landon School Bethesda, Maryland (4.612 άτομα που εμπλέκονται):
- ειδοποιήσεις που στάλθηκαν στις 22.01.2021 (κάτοικοι στις πολιτείες της Μασαχουσέτης, στο Μέιν, στο Βερμόντ, στο Νιού Χάμσαϊρ)
The Archer School for Girls Λος Άντζελες, Καλιφόρνια (6.385 άτομα που συμμετέχουν)
- κοινοποιήσεις που στάλθηκαν στις 13.01.2021 (κάτοικοι στις πολιτείες Maine, Indiana, New Hampshire, Vermont)
Μετά από ένα χρόνο, δεν γνωρίζουμε ακόμα ποιος είναι ο συνολικός αριθμός των οντοτήτων που επηρεάζονται από το hack, αλλά και ποιος είναι ο συνολικός αριθμός των ατόμων των οποίων τα ευαίσθητα δεδομένα διακυβεύτηκαν. Μετά την πληρωμή των λύτρων που ζήτησαν οι χάκερς, η Blackbaud δεν ήθελε να αποκαλύψει τον πραγματικό αντίκτυπο που είχε στους πελάτες της το περιστατικό ασφαλείας, ενώ δεν είναι ακόμα γνωστό ποια ransomware βρίσκεται πίσω από την επίθεση.
Όσον αφορά τον αριθμό των πληγέντων, μέχρι στιγμής ανέρχεται περίπου στα 20 εκατομμύρια. Μην ξεχνάμε όσους έχουν πληγεί σε νοσοκομεία που πλησιάζουν τα 11 εκατομμύρια, όπως ανέφερε στο suspectfile ο Dissent (@PogoWasRight) του DataBreaches.net και τα ιδρύματα για τα οποία δεν υπάρχουν ακόμα αξιόπιστα στοιχεία.
Ορισμένες από τις χώρες στις οποίες εδρεύουν οι επηρεαζόμενες οντότητες (πανεπιστήμια, κολέγια, σχολεία, K-12 και άλλοι οργανισμοί) είναι οι ΗΠΑ, ο Καναδάς, η Νέα Ζηλανδία, το Ηνωμένο Βασίλειο, η Ιρλανδία, οι Κάτω Χώρες και η Ουγγαρία.
Πηγή: suspectfile.com
