Minkälaisia henkilötietoja Tulane Universityn tietomurrossa paljastui?

Tietomurrossa paljastui asianomaisten henkilöiden nimiä, henkilötunnuksia ja pankkitietoja. Tämä tietoyhdistelmä voi mahdollistaa identiteettipetoksen, suoran taloudellisen varkauden ja petollisten tilien avaamisen.

Miten hyökkääjät pääsivät käsiksi Tulane Universityn HR-järjestelmään?

Hyökkääjät hyödynsivät Oracle-alustan haavoittuvuutta, jota Tulane University käytti HR-järjestelmän tiedostojen hallintaan. Taustalla olevan Oracle-ohjelmiston tietoturva-aukko teki instituutiosta potentiaalisen kohteen.

Mikä lakiasiaintoimisto tutkii Tulane Universityn tietomurtoa?

Edelson Lechtzin LLP tutkii tapausta asianomaisten henkilöiden puolesta. Tietomurto on käynnistänyt mahdollisen ryhmäkanteen.

Miksi HR- ja palkkajärjestelmiä pidetään arvokkaina kohteina kyberrikollisille?

HR- ja palkkajärjestelmät kokoavat yhteen paikkaan henkilöllisyysasiakirjat, veroasiakirjat, suoramaksutiedot ja työhistorian, mikä tekee niistä erittäin houkuttelevia hyökkääjille. Rikolliset voivat hyödyntää tätä dataa identiteettivarkauteen, veropetosten tekemiseen tai myymällä sitä dark web -markkinoilla.

Miksi yliopistot ovat erityisen haavoittuvia tämänkaltaisille tietomurroille?

Yliopistot työllistävät suuria ja monimuotoisia henkilöstöryhmiä monilla osastoilla, joilla on vaihteleva IT-valvonnan taso, mikä luo laajan hyökkäyspinnan. Lisäksi kolmannen osapuolen yritystason ohjelmistot, kuten Oracle, lisäävät riskiä, koska yksittäinen haavoittuvuus voi vaikuttaa jokaiseen kyseistä alustaa käyttävään instituutioon.

Tulane Universityn Oracle HR -tietomurto paljasti henkilötunnuksia ja pankkitietoja

Tietomurto Tulane Universityssä on käynnistänyt mahdollisen ryhmäkanteen sen jälkeen, kun luvattomat osapuolet hyödynsivät Oracle-alustan haavoittuvuutta päästäkseen käsiksi HR-järjestelmän tiedostoihin. Tietomurto paljasti erittäin arkaluonteisia henkilötietoja, mukaan lukien nimiä, henkilötunnuksia ja pankkitietoja. Lakiasiaintoimisto Edelson Lechtzin LLP tutkii nyt tapausta asianomaisten henkilöiden puolesta. Kaikille, jotka pohtivat yliopiston tietomurtoihin liittyviä henkilötietosuojakysymyksiä, tämä tapaus on selvä muistutus siitä, että jopa hyvin resursoituneilla oppilaitoksilla voi olla tapana altistaa ihmisiä riskeille ilman heidän omaa syytään.

Mitä Tulanen tietomurto paljasti ja miten hyökkääjät pääsivät sisään

Tulane Universityn vahvistamien tietojen mukaan hyökkääjät hyödynsivät Oracle-alustan haavoittuvuutta, jota käytettiin HR-järjestelmän tiedostojen hallintaan. Oracle-tuotteita on laajasti käytössä suurissa organisaatioissa toiminnanohjauksen, palkanlaskennan ja henkilöstöhallinnon tarpeisiin. Kun taustalla olevassa alustassa on tietoturva-aukko, jokaisesta sitä käyttävästä organisaatiosta tulee mahdollinen kohde.

Tässä tietomurrossa paljastuneet tiedot kuuluvat vahingollisimpiin kategorioihin, joita hyökkääjä voi hankkia. Henkilötunnuksia voidaan käyttää vuosia kestävään identiteettipetokseen. Pankkitiedot avaavat oven suoraan taloudelliseen varkauteen. Täydelliset nimet yhdistettynä molempiin antavat kaiken tarvittavan jonkun henkilöllisyyden esittämiseen tai petollisten tilien avaamiseen heidän nimissään. Asianomainen henkilöt eivät valinneet tallentaa tietojaan Tulanen kolmannen osapuolen Oracle-järjestelmään. Heidän oli pakko, työsuhteen tai opiskelun ehtona.

Miksi HR- ja palkkajärjestelmät ovat arvoisia kohteita

HR- ja palkkajärjestelmät ovat kyberrikollisille houkuttelevimpia kohteita juuri siksi, mitä niissä säilytetään. Toisin kuin vähittäiskaupan tietokanta, joka tallentaa ostohistorioita, HR-järjestelmä kokoaa yhteen paikkaan henkilöllisyysasiakirjat, veroasiakirjat, suoramaksutiedot ja työhistorian. Hyökkääjät voivat hyödyntää tätä dataa identiteettivarkauteen, veropetosten tekemiseen tai myymällä sitä dark web -markkinoilla.

Korkeakouluopetuksen instituutiot kohtaavat monimutkaistuvan ongelman. Yliopistot työllistävät suuria ja monimuotoisia henkilöstöryhmiä, mukaan lukien opetushenkilökunnan, henkilöstön, urakoitsijat ja opiskelijatyöntekijät, ja ne toimivat usein kymmenillä osastoilla, joilla on vaihteleva IT-valvonnan taso. Kolmannen osapuolen yritystason ohjelmistotoimittajat, kuten Oracle, lisäävät riskiä, koska yksittäinen haavoittuvuus toimittajan koodissa voi levitä jokaiselle kyseistä alustaa käyttävälle asiakkaalle. Hyökkäyspinta ei ole vain yliopisto; se on kaikki, jotka käyttävät samaa ohjelmistopinoa.

Tämä ei ole eristetty ilmiö. Kuten Strykerin tietomurrossa on nähty, hyökkääjät kohdistuvat yhä useammin yritystason ohjelmistokerrokseen sen sijaan, että he hyökkäisivät suoraan yksittäisiin organisaatioihin. Kun laajalti käytetyssä alustassa on haavoittuvuus, sen hyödyntäminen kerran voi tuottaa tietoja tuhansista ihmisistä useissa organisaatioissa.

Mitä asianomainen henkilöt voivat tehdä, kun organisaatiot pettävät heidät

Kun laitos, jolle sinun on pakko jakaa tietoja, kärsii tietomurrosta, vaihtoehtosi ovat rajalliset, mutta eivät olemattomat. Ensimmäinen askel on varmistaa, oletko asianosainen. Tulanen odotetaan ilmoittavan asiasta suoraan asianomaisille henkilöille, mutta jos olet nykyinen tai entinen työntekijä tai opiskelija etkä ole saanut viestintää, yliopiston tietosuoja- tai HR-toimistoon ottaminen yhteyttä on perusteltua.

Kun altistuminen on vahvistettu, seuraavat toimenpiteet ovat käytännöllisiä ja kiireellisiä:

Aseta luottopakote kaikille kolmelle suurelle luottotietotoimistolle (Equifax, Experian, TransUnion). Pakote estää uusien luottotilien avaamisen nimissäsi ilman nimenomaista suostumustasi, ja se on maksuton.
Aseta petosvaroitukset lisäkerroksena, joka ilmoittaa luotonantajille identiteetin tarkistamisesta ennen luoton myöntämistä.
Seuraa pankkitilejä tarkasti luvattomien tapahtumien varalta, erityisesti jos pankkitiedot on vahvistettu osaksi paljastunutta dataa.
Tee veroilmoituksesi ajoissa, jos saat ilmoituksen henkilötunnuksesi paljastumisesta. Verotukseen liittyvä identiteettipetos, jossa rikollinen tekee veroilmoituksen henkilötunnuksellasi voidakseen vaatia palautusta, on yleistä tämänkaltaisten tietomurtojen jälkeen.
Dokumentoi kaikki kirjeenvaihto yliopiston kanssa tietomurrosta. Jos ryhmäkanne etenee, tiedot siitä, mitä sinulle kerrottiin ja milloin, voivat olla oleellisia.

Edelson Lechtzin LLP:n mahdollinen ryhmäkanne voi tarjota taloudellisia korvausmahdollisuuksia, mutta oikeudelliset tulokset vievät aikaa. Henkilökohtaisia suojaavia toimia ei pidä odottaa oikeudenkäyntien tuloksiin asti.

Henkilötietoturvallisuuden oppitunnit: VPN:t, seuranta ja muuta

Tämä tietomurto korostaa yliopiston tietomurtoihin liittyvän henkilötietosuojan perustavanlaatuista ongelmaa: arkaluonteisin sinusta säilytetty tieto on usein järjestelmissä, joihin sinulla ei ole näkyvyyttä eikä hallintaa. Et voi tarkastaa Oraclen tietoturvakäytäntöjä. Et voi valita, mitä toimittajaa työnantajasi käyttää. Mitä voit hallita, on se, kuinka nopeasti havaitset ongelmat ja kuinka hyvin rajoitat lisäaltistumista.

Muutamat kerrostetut tietoturvatottumukset vähentävät merkittävästi riskiprofiiliasi tietomurron jälkeen:

Käytä hyvämaineista identiteetin seurantapalvelua, joka tarkkailee henkilötunnuksesi, sähköpostiosoitteidesi ja rahoitustiliesi ilmestymistä tietomurtokantoihin tai dark web -foorumeille.
Ota käyttöön monivaiheinen todennus jokaisella talous- ja sähköpostitilillä. Jos hyökkääjät hankkivat tunnistetietosi toisesta lähteestä ja yrittävät yhdistää ne tämän tietomurron tietoihin, monivaiheinen todennus pysäyttää automatisoidut kirjautumisyritykset.
Käytä VPN:ää julkisissa verkoissa estääksesi opportunistisen tunnistetietojen sieppauksen, erityisesti jos matkustat tai työskentelet etänä tietomurtotiedotteen jälkeen. Vaikka VPN ei poista jo vaarantunutta henkilötunnusta, se estää tunnistetietojesi lisäaltistumisen korjaavien toimenpiteiden aikana.
Erota rahoitustilit mahdollisuuksien mukaan. Jos Tulanen HR-järjestelmän pankkitiedot viittaavat ensisijaiseen tiliin, harkitse erillisen tilin avaamista suoramaksuja varten jatkossa rajoittaaksesi mahdollisen tulevan tapahtuman vaikutusaluetta.

Todellisuus, jota tapaukset kuten Tulane ja Strykerin tietomurto havainnollistavat, on se, että luottaessasi instituutioille arkaluonteisia tietojasi otat luontaisen riskin, koska heidän tietoturva-asenteensa on suurelta osin hallintasi ulkopuolella. Tämä ei tarkoita avuttomuutta. Se tarkoittaa henkilökohtaisten tietoturvatottumusten rakentamista, jotka olettavat tietomurron tapahtuvan lopulta ja valmistavat sinua reagoimaan nopeasti.

Mitä tämä tarkoittaa sinulle

Jos olet nykyinen tai entinen Tulanen työntekijä tai opiskelija, kohtele tätä aktiivisena tilanteena, joka vaatii välittömiä toimia, eikä uutisena, jota seurataan passiivisesti. Aseta luottopakotteet nyt, seuraa pankkitilejäsi ja odota mahdollista ilmoitusta yliopistolta. Jos uskot voivasi olla asianosainen etkä ole kuullut Tulanelta, ota suoraan yhteyttä.

Laajemmin tämä tapaus vahvistaa, että yritystason ohjelmistohaavoittuvuudet luovat riskejä, jotka leviävät kauas yksittäisen organisaation ulkopuolelle. Jokainen Oracle HR -tuotteita tai vastaavia alustoja käyttävä instituutio on potentiaalinen kohde. Henkilökohtaisen tietoturva-asetuksesi tarkistaminen, mukaan lukien luottoseuranta, monivaiheinen todennus ja tilien erottaminen, on kannattavaa riippumatta siitä, oletko saanut tietomurtotiedotteen.

Tietomurrot institutionaalisella tasolla ovat suurelta osin käsistäsi. Se, kuinka nopeasti reagoit ja kuinka kerrostuneet henkilökohtaiset puolustuksesi ovat, ei ole.