Jaký typ osobních informací byl odhalen při porušení zabezpečení dat na Tulane University?

Porušení odhalilo jména, čísla sociálního pojištění a bankovní údaje postižených osob. Tato kombinace dat může umožnit podvody s identitou, přímou finanční krádež a zakládání podvodných účtů.

Jak získali útočníci přístup k HR systému Tulane University?

Útočníci zneužili zranitelnost v platformě Oracle, kterou Tulane University používala ke správě souborů HR systému. Chyba v základním softwaru Oracle učinila z instituce potenciální cíl.

Která právní firma vyšetřuje porušení zabezpečení dat na Tulane University?

Případ vyšetřuje jménem postižených osob firma Edelson Lechtzin LLP. Porušení zabezpečení vyvolalo potenciální hromadnou žalobu.

Proč jsou HR a mzdové systémy považovány za vysoce hodnotné cíle pro kyberzločince?

HR a mzdové platformy v jednom místě shromažďují doklady totožnosti, daňové záznamy, údaje o přímém vkladu a historii zaměstnání, což je pro útočníky velmi atraktivní. Zločinci mohou tato data zpeněžit prostřednictvím krádeže identity, daňových podvodů nebo jejich prodejem na trzích dark webu.

Proč jsou univerzity vůči tomuto typu porušení zabezpečení zvláště zranitelné?

Univerzity zaměstnávají velké a různorodé populace napříč mnoha odděleními s různou úrovní IT dohledu, čímž vytvářejí široký povrch útoku. Navíc podnikový software třetích stran, jako je Oracle, přináší dodatečné riziko, protože jediná zranitelnost může postihnout každou instituci provozující tuto platformu.

Porušení zabezpečení Oracle HR na Tulane University odhaluje rodná čísla a bankovní údaje

Porušení zabezpečení dat na Tulane University vyvolalo potenciální hromadnou žalobu poté, co neoprávněné osoby zneužily zranitelnost v platformě Oracle k přístupu k souborům HR systému. Porušení odhalilo vysoce citlivé osobní informace, včetně jmen, čísel sociálního pojištění a bankovních údajů. Právní firma Edelson Lechtzin LLP nyní případ vyšetřuje jménem postižených osob. Pro každého, kdo se zabývá ochranou osobních údajů při porušení zabezpečení dat na univerzitě, je tento případ ostrým připomenutím, že i dobře vybavené instituce mohou nechat lidi vystaveným riziku bez jejich vlastního zavinění.

Co bylo při porušení zabezpečení na Tulane odhaleno a jak se útočníci dostali dovnitř

Podle informací potvrzených Tulane University útočníci zneužili zranitelnost v platformě Oracle, která sloužila ke správě souborů HR systému. Produkty Oracle jsou široce nasazeny ve velkých organizacích pro plánování podnikových zdrojů, zpracování mezd a řízení lidských zdrojů. Pokud v této základní platformě existuje chyba, stává se každá instituce, která ji provozuje, potenciálním cílem.

Data odhalená při tomto porušení zabezpečení představují některé z nejškodlivějších kategorií, které může útočník získat. Čísla sociálního pojištění lze využívat k podvodům s identitou po celá léta. Bankovní informace otevírají dveře k přímé finanční krádeži. Celá jména spojená s oběma poskytují vše potřebné k vydávání se za někoho jiného nebo zakládání podvodných účtů v jeho jménu. Postižené osoby se nerozhodly ukládat tato data v systému třetí strany Oracle na Tulane. Musely tak učinit jako podmínku zaměstnání nebo zápisu ke studiu.

Proč jsou HR a mzdové systémy vysoce hodnotné cíle

HR a mzdové platformy patří mezi nejatraktivnější cíle pro kyberzločince právě kvůli tomu, co obsahují. Na rozdíl od maloobchodní databáze ukládající historii nákupů HR systém v jednom místě shromažďuje doklady totožnosti, daňové záznamy, údaje o přímém vkladu a historii zaměstnání. Útočníci mohou tato data zpeněžit prostřednictvím krádeže identity, daňových podvodů nebo prodejem na trzích dark webu.

Instituce vyššího vzdělávání čelí ještě složitějšímu problému. Univerzity zaměstnávají velké a různorodé populace zahrnující akademické pracovníky, zaměstnance, dodavatele a studentské pracovníky a často působí v desítkách oddělení s různou úrovní IT dohledu. Dodavatelé podnikového softwaru třetích stran, jako je Oracle, přinášejí dodatečné riziko, protože jediná zranitelnost v kódu dodavatele se může kaskádovitě šířit na každého klienta provozujícího tuto platformu. Povrch útoku není jen samotná univerzita, ale každý, kdo používá stejný softwarový zásobník.

Nejde o ojedinělý vzorec. Jak bylo vidět při porušení zabezpečení dat Stryker, útočníci stále častěji cílí na vrstvu podnikového softwaru, místo aby přímo útočili na jednotlivé organizace. Když má široce používaná platforma chybu, její jednorázové zneužití může přinést data tisíců lidí napříč více organizacemi.

Co mohou postižené osoby udělat, když je instituce selžou

Když instituce, s níž jste povinni sdílet data, utrpí porušení zabezpečení, vaše možnosti jsou omezené, ale ne nulové. Prvním krokem je ověřit, zda jste postiženi. Tulane by měla postižené osoby přímo informovat, ale pokud jste současný nebo bývalý zaměstnanec či student a dosud jste neobdrželi žádnou komunikaci, je rozumné obrátit se na oddělení ochrany dat nebo HR univerzity.

Jakmile je odhalení potvrzeno, následující kroky jsou praktické a naléhavé:

Zablokujte úvěr u všech tří hlavních úvěrových úřadů (Equifax, Experian, TransUnion). Blokování zabrání otevření nových úvěrových účtů na vaše jméno bez vašeho výslovného souhlasu a je bezplatné.
Nastavte upozornění na podvody jako další vrstvu, která upozorňuje věřitele, aby před poskytnutím úvěru ověřili totožnost.
Pečlivě sledujte bankovní účty na neautorizované transakce, zejména pokud bylo potvrzeno, že bankovní informace jsou součástí odhalených dat.
Podejte daňové přiznání co nejdříve, pokud obdržíte oznámení o odhalení čísla sociálního pojištění. Daňový podvod s identitou, kdy zločinec podá přiznání s vaším rodným číslem za účelem nárokování vrácení daně, je po porušeních tohoto typu běžný.
Zdokumentujte veškerou korespondenci od univerzity ohledně porušení zabezpečení. Pokud hromadná žaloba pokročí, záznamy o tom, co vám bylo sděleno a kdy, mohou být relevantní.

Potenciální hromadná žaloba ze strany Edelson Lechtzin LLP může poskytnout finanční nápravu, ale právní výsledky trvají dlouho. Osobní ochranná opatření by neměla čekat na soudní spor.

Poučení pro osobní bezpečnost dat: VPN, monitorování a další

Toto porušení zabezpečení poukazuje na zásadní problém ochrany osobních dat při porušení zabezpečení na univerzitě: nejcitlivější data, která jsou o vás uchovávána, jsou často uložena v systémech, do nichž nemáte žádný přehled a nad nimiž nemáte žádnou kontrolu. Nemůžete auditovat bezpečnostní postupy Oracle. Nemůžete si vybrat, kterého dodavatele váš zaměstnavatel používá. Co můžete ovládat, je jak rychle problémy odhalíte a jak dobře omezíte další odhalení.

Několik vrstvených bezpečnostních návyků výrazně snižuje váš rizikový profil po porušení zabezpečení:

Používejte renomovanou službu pro sledování identity, která sleduje, zda se vaše rodné číslo, e-mailové adresy a finanční účty neobjevují v databázích porušení nebo na fórech dark webu.
Povolte vícefaktorové ověřování na každém finančním a e-mailovém účtu. Pokud útočníci získají vaše přihlašovací údaje z jiného zdroje a pokusí se je kombinovat s daty z tohoto porušení, MFA zastaví automatizované pokusy o přihlášení.
Používejte VPN ve veřejných sítích, abyste zabránili příležitostnému zachycení přihlašovacích údajů, zejména pokud cestujete nebo pracujete na dálku po obdržení oznámení o porušení zabezpečení. Ačkoli VPN neodčiní již kompromitované rodné číslo, zabraňuje dalšímu odhalení vašich přihlašovacích údajů při přijímání nápravných opatření.
Oddělte finanční účty, kde je to možné. Pokud bankovní informace v HR systému Tulane odkazují na primární účet, zvažte otevření samostatného účtu pro přímé vklady do budoucna, abyste omezili dosah případného budoucího incidentu.

Realita, ilustrovaná případy jako Tulane a porušení zabezpečení Stryker, je taková, že důvěřování institucím s vašimi citlivými daty nese inherentní riziko, protože jejich bezpečnostní postoj je z velké části mimo vaši kontrolu. To neznamená bezmocnost. Znamená to budovat osobní bezpečnostní návyky, které předpokládají, že k porušení zabezpečení nakonec dojde, a připravit vás na rychlou reakci.

Co to znamená pro vás

Pokud jste současný nebo bývalý zaměstnanec nebo student Tulane, zacházejte s tím jako s aktivní situací vyžadující okamžitou akci, nikoli jako se zprávou, kterou budete pasivně sledovat. Okamžitě zablokujte úvěr, sledujte své bankovní účty a vyhlížejte jakékoli oznámení od univerzity. Pokud se domníváte, že jste mohli být postiženi, ale od Tulane jste neslyšeli, obraťte se přímo na ni.

V širším kontextu tento případ potvrzuje, že zranitelnosti podnikového softwaru vytvářejí rizika, která se šíří daleko za hranice jakékoli jednotlivé organizace. Každá instituce provozující HR produkty Oracle nebo podobné platformy představuje potenciální cíl. Kontrola vašeho osobního bezpečnostního nastavení, včetně sledování úvěru, vícefaktorového ověřování a oddělení účtů, je přínosná bez ohledu na to, zda jste obdrželi oznámení o porušení zabezpečení.

Porušení dat na institucionální úrovni je z velké části mimo vaše možnosti. Jak rychle reagujete a jak vrstvená je vaše osobní obrana, to nikoli.