Koja vrsta osobnih podataka je izložena u povredi podataka Sveučilišta Tulane?

Povreda je otkrila imena, brojeve socijalnog osiguranja i bankovne podatke pogođenih osoba. Ova kombinacija podataka može omogućiti prijevaru identiteta, izravnu financijsku krađu i otvaranje lažnih računa.

Kako su napadači dobili pristup HR sustavu Sveučilišta Tulane?

Napadači su iskoristili ranjivost na Oracle platformi koju je Sveučilište Tulane koristilo za upravljanje datotekama HR sustava. Nedostatak u temeljnom Oracle softveru učinio je instituciju potencijalnom metom.

Koja pravna tvrtka istražuje povredu podataka Sveučilišta Tulane?

Edelson Lechtzin LLP istražuje incident u ime pogođenih osoba. Povreda je pokrenula potencijalnu skupnu tužbu.

Zašto se HR sustavi i sustavi za obračun plaća smatraju metama visoke vrijednosti za kibernetičke kriminalce?

HR platforme i platforme za obračun plaća agregiraju identifikacijske dokumente, porezne evidencije, podatke za izravnu uplatu i povijest zaposlenja na jednom mjestu, čineći ih iznimno privlačnima za napadače. Kriminalci mogu unovčiti te podatke putem krađe identiteta, poreznih prijevara ili prodajom na tržištima tamnog weba.

Zašto su sveučilišta posebno ranjiva na ovu vrstu povrede?

Sveučilišta zapošljavaju velika, raznolika stanovništva kroz mnoge odjele s različitim razinama IT nadzora, stvarajući široku površinu napada. Uz to, korporativni softver trećih strana poput Oraclea uvodi dodatni rizik jer jedna ranjivost može pogoditi svaku instituciju koja koristi tu platformu.

Povreda podataka Oracle HR sustava na Sveučilištu Tulane izlaže SSN-ove i bankovne podatke

Povreda podataka na Sveučilištu Tulane pokrenula je potencijalnu skupnu tužbu nakon što su neovlaštene strane iskoristile ranjivost na Oracle platformi kako bi pristupile datotekama HR sustava. Povreda je otkrila iznimno osjetljive osobne podatke, uključujući imena, brojeve socijalnog osiguranja i bankovne podatke. Pravna tvrtka Edelson Lechtzin LLP sada istražuje incident u ime pogođenih osoba. Za sve koji se nose s brigama o zaštiti osobnih podataka u slučaju povrede podataka na sveučilištu, ovaj slučaj je oštar podsjetnik da čak i dobro opremljene institucije mogu ostaviti ljude izloženima bez ikakve njihove krivnje.

Što je Tulaneova povreda podataka otkrila i kako su napadači ušli u sustav

Prema informacijama koje je potvrdilo Sveučilište Tulane, napadači su iskoristili ranjivost na Oracle platformi korištenoj za upravljanje datotekama HR sustava. Oracle proizvodi široko su primijenjeni u velikim organizacijama za planiranje poslovnih resursa, obradu plaća i upravljanje ljudskim resursima. Kada u toj temeljnoj platformi postoji nedostatak, svaka institucija koja je koristi postaje potencijalna meta.

Podaci izloženi ovom povredom spadaju u neke od najštetnijih kategorija koje napadač može pribaviti. Brojevi socijalnog osiguranja mogu se koristiti godinama za prijevaru identiteta. Bankovni podaci otvaraju vrata izravnoj financijskoj krađi. Puna imena povezana s obama pružaju sve što je potrebno za lažno predstavljanje nekoga ili otvaranje lažnih računa u njegovo ime. Pogođene osobe nisu same odabrale pohraniti te podatke u Tulaneovom Oracle sustavu treće strane. Morale su to učiniti kao uvjet zaposlenja ili upisa.

Zašto su HR i sustavi za obračun plaća mete visoke vrijednosti

HR platforme i platforme za obračun plaća spadaju među najatraktivnije mete za kibernetičke kriminalce upravo zbog onoga što sadrže. Za razliku od baze podataka u maloprodaji koja pohranjuje povijest kupnji, HR sustav agregira identifikacijske dokumente, porezne evidencije, podatke za izravnu uplatu i povijest zaposlenja na jednom mjestu. Napadači mogu unovčiti te podatke putem krađe identiteta, poreznih prijevara ili prodaje na tržištima tamnog weba.

Institucije visokog obrazovanja suočavaju se s dodatnim problemom. Sveučilišta zapošljavaju velika, raznolika stanovništva uključujući nastavno osoblje, zaposlenike, izvođače i studentske radnike, a često djeluju kroz desetke odjela s različitim razinama IT nadzora. Dobavljači korporativnog softvera trećih strana poput Oraclea uvode dodatni rizik jer jedna ranjivost u kodu dobavljača može se proširiti na svakog klijenta koji koristi tu platformu. Površina napada nije samo sveučilište; to su svi koji koriste isti softverski skup.

Ovo nije izolirani obrazac. Kao što je viđeno u povredi podataka Stryker, napadači sve više ciljaju na sloj korporativnog softvera umjesto da ciljaju pojedinačne organizacije izravno. Kada široko korištena platforma ima nedostatak, njegovo iskorištavanje jednom može donijeti podatke tisućama ljudi u više organizacija.

Što pogođene osobe mogu učiniti kada ih institucije iznevjere

Kada institucija s kojom ste dužni dijeliti podatke pretrpi povredu, vaše mogućnosti su ograničene, ali nisu nula. Prvi korak je potvrditi jeste li pogođeni. Očekuje se da će Tulane izravno obavijestiti pojedince, ali ako ste trenutni ili bivši zaposlenik ili student i niste primili komunikaciju, razumno je kontaktirati sveučilišni ured za zaštitu podataka ili HR ured.

Nakon potvrde izloženosti, sljedeći koraci su praktični i hitni:

Postavite blokadu kredita u sva tri glavna kreditna biroa (Equifax, Experian, TransUnion). Blokada sprječava otvaranje novih kreditnih računa u vaše ime bez vašeg izričitog pristanka, a besplatna je.
Postavite upozorenja o prijevari kao dodatni sloj koji obavještava zajmodavce da provjere identitet prije odobravanja kredita.
Pomno pratite bankovne račune zbog neovlaštenih transakcija, posebno ako je potvrđeno da su bankovni podaci dio izloženih podataka.
Podnesite poreznu prijavu rano ako primite obavijest o izloženosti broja socijalnog osiguranja. Porezna prijevara identiteta, gdje kriminalac podnosi prijavu koristeći vaš SSN kako bi zatražio povrat, česta je nakon ovakvih vrsta povreda.
Dokumentirajte svu korespondenciju sa sveučilištem o povredi. Ako skupna tužba krene naprijed, evidencija o tome što vam je rečeno i kada može biti relevantna.

Potencijalna skupna tužba tvrtke Edelson Lechtzin LLP može pružiti financijsku naknadu, ali pravni ishodi zahtijevaju vrijeme. Osobne zaštitne mjere ne bi trebale čekati na tužbu.

Lekcije za osobnu sigurnost podataka: VPN-ovi, praćenje i više

Ova povreda ističe temeljni problem zaštite osobnih podataka u slučaju povrede podataka na sveučilištu: najosjetljiviji podaci koji se čuvaju o vama često su pohranjeni u sustavima u koje nemate uvid i nad kojima nemate kontrolu. Ne možete revidirati Oracleove sigurnosne prakse. Ne možete odabrati kojeg dobavljača koristi vaš poslodavac. Ono što možete kontrolirati jest koliko brzo otkrijete probleme i koliko dobro ograničite daljnju izloženost.

Nekoliko slojeva sigurnosnih navika značajno smanjuje vaš profil rizika nakon povrede:

Koristite uglednu uslugu praćenja identiteta koja prati pojavu vašeg SSN-a, adresa e-pošte i financijskih računa u bazama podataka povreda ili na forumima tamnog weba.
Omogućite višefaktorsku autentifikaciju na svakom financijskom računu i računu e-pošte. Ako napadači pribave vaše vjerodajnice iz drugog izvora i pokušaju ih spojiti s podacima iz ove povrede, MFA zaustavlja automatizovane pokušaje prijave.
Koristite VPN na javnim mrežama kako biste spriječili oportunističko presretanje vjerodajnica, posebno ako putujete ili radite na daljinu nakon obavijesti o povredi. Iako VPN ne poništava već kompromitirani SSN, sprječava dodatnu izloženost vaših vjerodajnica dok poduzimate popravne korake.
Razdvojite financijske račune gdje je moguće. Ako bankovni podaci u Tulaneovom HR sustavu upućuju na primarni račun, razmislite o otvaranju zasebnog računa za izravne uplate unaprijed kako biste ograničili razmjere eventualnog budućeg incidenta.

Stvarnost, ilustrirana slučajevima poput Tulanea i Strykerove povrede, jest da povjeravanje institucijama vaših osjetljivih podataka nosi inherentni rizik jer je njihov sigurnosni položaj uvelike izvan vaše kontrole. To ne znači bespomoćnost. To znači izgradnju osobnih sigurnosnih navika koje pretpostavljaju da će do povrede eventualno doći i pripremaju vas za brzu reakciju.

Što to znači za vas

Ako ste trenutni ili bivši zaposlenik ili student Tulanea, tretirajte ovo kao aktivnu situaciju koja zahtijeva trenutnu akciju, a ne vijest koju ćete pasivno pratiti. Sada postavite blokade kredita, pratite svoje bankovne račune i pazite na svaku obavijest sa sveučilišta. Ako smatrate da biste mogli biti pogođeni, a niste čuli od Tulanea, obratite im se izravno.

Šire gledano, ovaj slučaj potvrđuje da ranjivosti korporativnog softvera stvaraju rizike koji se šire daleko izvan bilo koje pojedine organizacije. Svaka institucija koja koristi Oracle HR proizvode, ili slične platforme, predstavlja potencijalnu metu. Vrijedi pregledati vaš osobni sigurnosni postav, uključujući praćenje kredita, višefaktorsku autentifikaciju i razdvajanje računa, bez obzira na to jeste li primili obavijest o povredi.

Povrede podataka na institucionalnoj razini uglavnom su izvan vaših ruku. Koliko brzo reagirate i koliko su slojevi vaše osobne obrane dobro postavljeni — to nije.