Нарушение на Oracle HR системата на Tulane University излага ЕГН-та и банкови данни

Пробив в данните на Tulane University е задействал потенциален колективен иск, след като неоторизирани лица са се възползвали от уязвимост в платформа на Oracle за достъп до файлове на HR системата. Пробивът разкри изключително чувствителна лична информация, включително имена, номера на социална осигуровка и банкови данни. Правната кантора Edelson Lechtzin LLP в момента разследва инцидента от името на засегнатите лица. За всеки, който се ориентира в проблемите с личната защита на данните при университетски пробиви, този случай е остро напомняне, че дори добре обезпечени институции могат да изложат хората на риск без тяхна вина.

Какво разкри пробивът в Tulane и как нападателите са проникнали в системата

Според потвърдената от Tulane University информация, нападателите са се възползвали от уязвимост в платформа на Oracle, използвана за управление на файлове на HR системата. Продуктите на Oracle са широко разгърнати в големи организации за планиране на корпоративни ресурси, обработка на заплати и управление на човешките ресурси. Когато в тази основна платформа съществува недостатък, всяка институция, която я използва, се превръща в потенциална цел.

Данните, разкрити при този пробив, представляват едни от най-увреждащите категории, които нападателят може да получи. Номерата на социална осигуровка могат да бъдат използвани за години наред за измами с идентичност. Банковата информация отваря вратата за директна финансова кражба. Пълните имена, свързани и с двете, предоставят всичко необходимо за представяне под чужда самоличност или за откриване на измамнически сметки на нечие име. Засегнатите лица не са избрали да съхраняват тези данни в системата на Oracle на Tulane, предоставяна от трета страна. Те е трябвало да го направят като условие за заетост или записване.

Защо HR и системите за заплащане са високоценни цели

HR платформите и системите за заплати са сред най-привлекателните цели за киберпрестъпниците именно заради това, което съдържат. За разлика от търговска база данни, съхраняваща история на покупките, HR системата обединява на едно място документи за самоличност, данъчни записи, данни за директен депозит и история на заетостта. Нападателите могат да монетизират тези данни чрез кражба на самоличност, данъчни измами или продажба на пазарите в тъмната мрежа.

Висшите учебни заведения са изправени пред усложняващ се проблем. Университетите наемат големи, разнородни групи от хора, включително преподаватели, персонал, изпълнители и студенти, работещи на непълен работен ден, и те често работят в десетки отдели с различни нива на IT надзор. Доставчиците на корпоративен софтуер от трети страни като Oracle въвеждат допълнителен риск, тъй като една единствена уязвимост в кода на доставчика може да се разпространи към всеки клиент, работещ с тази платформа. Повърхността на атаката не е само университетът — това са всички, използващи един и същ софтуерен стек.

Това не е изолиран модел. Както се вижда при пробива на данни на Stryker, нападателите все по-често атакуват слоя на корпоративния софтуер, вместо да се насочват директно към отделни организации. Когато широко използвана платформа има недостатък, еднократното му експлоатиране може да осигури данни за хиляди хора в множество организации.

Какво могат да направят засегнатите лица, когато организациите ги подведат

Когато институция, с която сте задължени да споделяте данни, претърпи пробив, вашите възможности са ограничени, но не и нулеви. Първата стъпка е да потвърдите дали сте засегнати. Tulane се очаква да уведоми засегнатите лица директно, но ако сте настоящ или бивш служител или студент и не сте получили съобщение, разумно е да се свържете с отдела за защита на данните или HR отдела на университета.

След като е потвърдено излагане на риск, следните стъпки са практични и спешни:

  • Поставете замразяване на кредита при трите основни кредитни бюра (Equifax, Experian, TransUnion). Замразяването предотвратява откриването на нови кредитни сметки на ваше име без вашето изрично съгласие и е безплатно.
  • Настройте сигнали за измами като допълнителен слой, който уведомява кредиторите да проверят самоличността преди предоставяне на кредит.
  • Следете внимателно банковите сметки за неоторизирани транзакции, особено ако е потвърдено, че банковата информация е част от разкритите данни.
  • Подайте данъчната си декларация рано, ако получите известие за разкриване на номера на социална осигуровка. Данъчната измама с идентичност, при която престъпник подава декларация с вашия ЕГН за получаване на възстановяване, е честа след пробиви от този тип.
  • Документирайте цялата кореспонденция от университета относно пробива. Ако колективният иск продължи напред, наличието на записи за това какво ви е казано и кога може да е от значение.

Потенциалният колективен иск на Edelson Lechtzin LLP може да осигури финансово обезщетение, но правните резултати отнемат време. Личните защитни действия не трябва да чакат съдебния процес.

Поуки за личната сигурност на данните: VPN мрежи, мониторинг и още

Този пробив откроява фундаментален проблем с личната защита на данните при университетски пробиви: най-чувствителните данни, съхранявани за вас, често се намират в системи, в които нямате видимост и над които нямате контрол. Не можете да одитирате практиките за сигурност на Oracle. Не можете да изберете кой доставчик да използва вашият работодател. Това, което можете да контролирате, е колко бързо откривате проблемите и колко добре ограничавате допълнителното излагане на риск.

Няколко многопластови навика за сигурност значително намаляват рисковия ви профил след пробив:

  • Използвайте реномирана услуга за мониторинг на самоличността, която следи за появата на вашия ЕГН, имейл адреси и финансови сметки в бази данни с пробиви или в тъмни уеб форуми.
  • Активирайте многофакторното удостоверяване за всяка финансова и имейл сметка. Ако нападателите получат вашите идентификационни данни от друг източник и се опитат да ги комбинират с данни от този пробив, MFA спира автоматизираните опити за влизане.
  • Използвайте VPN в публични мрежи, за да предотвратите случайното прихващане на идентификационни данни, особено ако пътувате или работите дистанционно след известие за пробив. Въпреки че VPN не отменя вече компрометиран ЕГН, той предотвратява допълнителното излагане на вашите идентификационни данни докато предприемате коригиращи стъпки.
  • Разделете финансовите сметки, където е възможно. Ако банковата информация в HR системата на Tulane сочи към основна сметка, помислете за откриване на отделна сметка за директни депозити занапред, за да ограничите обхвата на щетите при евентуален бъдещ инцидент.

Реалността, илюстрирана от случаи като Tulane и пробива на Stryker, е, че доверяването на чувствителни данни на институции носи присъщ риск, тъй като тяхната позиция по сигурността е до голяма степен извън вашия контрол. Това не означава безпомощност. Означава изграждане на лични навици за сигурност, които допускат, че пробив в крайна сметка ще се случи, и ви подготвят да реагирате бързо.

Какво означава това за вас

Ако сте настоящ или бивш служител или студент на Tulane, третирайте това като активна ситуация, изискваща незабавни действия, а не като новина, която да следите пасивно. Поставете замразяване на кредита сега, следете банковите си сметки и очаквайте всяко уведомление от университета. Ако смятате, че може да сте засегнати и не сте чули от Tulane, свържете се директно.

В по-широк план, този случай потвърждава, че уязвимостите в корпоративния софтуер създават рискове, които се разпространяват далеч отвъд която и да е отделна организация. Всяка институция, работеща с Oracle HR продукти или подобни платформи, представлява потенциална цел. Преглеждането на личната ви конфигурация за сигурност, включително мониторинг на кредита, многофакторно удостоверяване и разделяне на сметките, е оправдано независимо дали сте получили известие за пробив.

Пробивите в данните на институционално ниво са до голяма степен извън вашия контрол. Колко бързо реагирате и колко многопластова е личната ви защита — това не е.