Milyen típusú személyes adatok szivárogtak ki a Tulane Egyetem adatszivárgásában?

A szivárgás az érintett személyek neveit, TAJ-számait és banki adatait tette közzé. Ez az adatkombináció lehetővé teszi a személyazonossággal való visszaélést, a közvetlen pénzügyi lopást és a csalárd számlák nyitását.

Melyik jogi iroda vizsgálja a Tulane Egyetem adatszivárgását?

Az Edelson Lechtzin LLP vizsgálja az esetet az érintett személyek nevében. A szivárgás potenciális csoportos keresetet váltott ki.

Miért különösen sérülékenyek az egyetemek az ilyen típusú szivárgásokkal szemben?

Az egyetemek nagy, sokszínű populációkat foglalkoztatnak sok különböző, eltérő informatikai felügyeletű részleg keretein belül, ami széles támadási felületet hoz létre. Emellett az olyan harmadik feles vállalati szoftverek, mint az Oracle, extra kockázatot jelentenek, mivel egyetlen sérülékenység minden, az adott platformot futtató intézményt érintheti.

A Tulane Egyetem Oracle HR-rendszerének adatszivárgása TAJ-számokat és banki adatokat tett közzé

Q: Hogyan jutottak be a támadók a Tulane Egyetem HR-rendszerébe?

A támadók egy olyan Oracle-platform sérülékenységét használták ki, amelyet a Tulane Egyetem a HR-rendszer fájljainak kezelésére alkalmazott. Az alapul szolgáló Oracle-szoftver hibája potenciális célponttá tette az intézményt.

Q: Miért számítanak a HR- és bérszámfejtési rendszerek kiemelt értékű célpontoknak a kiberbűnözők számára?

A HR- és bérszámfejtési platformok egy helyen összegyűjtik a személyazonosító dokumentumokat, az adónyilvántartásokat, a közvetlen átutalási adatokat és a foglalkoztatási előzményeket, ami rendkívül vonzóvá teszi őket a támadók számára. A bűnözők ezt az adatot személyazonosság-lopás, adócsalás útján vagy sötét webes piactereken való értékesítéssel tudják pénzzé tenni.

A Tulane Egyetem Oracle HR-rendszerének adatszivárgása TAJ-számokat és banki adatokat tett közzé

Az adatszivárgás a Tulane Egyetemen potenciális csoportos keresetet váltott ki, miután jogosulatlan személyek egy Oracle-platform sérülékenységét kihasználva hozzáfértek a HR-rendszer fájljaihoz. A szivárgás rendkívül érzékeny személyes adatokat tett közzé, köztük neveket, TAJ-számokat és banki adatokat. Az Edelson Lechtzin LLP jogi iroda most az érintett személyek nevében vizsgálja az esetet. Mindazok számára, akiket érint az egyetemi adatszivárgással kapcsolatos személyes adatvédelem kérdése, ez az eset éles emlékeztető arra, hogy még a jól ellátott intézmények is veszélynek tehetik ki az embereket anélkül, hogy azoknak bármilyen felelősségük lenne.

Mit tett közzé a Tulane-szivárgás, és hogyan jutottak be a támadók

A Tulane Egyetem által megerősített információk szerint a támadók egy olyan Oracle-platform sérülékenységét használták ki, amelyet az egyetem a HR-rendszer fájljainak kezelésére alkalmazott. Az Oracle termékei széles körben elterjedtek a nagyobb szervezeteknél vállalati erőforrás-tervezés, bérszámfejtés és emberi erőforrás menedzsment céljából. Ha egy hiba létezik az alapul szolgáló platformban, minden azt futtató intézmény potenciális célponttá válik.

A szivárgásban érintett adatok a legkárosabb kategóriák közé tartoznak, amelyekhez egy támadó hozzáférhet. A TAJ-számok évekig felhasználhatók személyazonossággal való visszaéléshez. A banki adatok közvetlen pénzügyi lopás lehetőségét nyitják meg. A teljes nevek, amelyek mindkettőhöz kapcsolódnak, mindent megadnak, ami szükséges valaki megszemélyesítéséhez vagy csalárd számlák nyitásához a nevükben. Az érintett személyek nem önként döntöttek arról, hogy ezeket az adatokat a Tulane harmadik feles Oracle-rendszerében tárolják. Meg kellett tenniük, a foglalkoztatás vagy a beiratkozás feltételeként.

Miért számítanak a HR- és bérszámfejtési rendszerek kiemelt értékű célpontoknak

A HR- és bérszámfejtési platformok a kiberbűnözők számára az egyik legvonzóbb célpontok közé tartoznak, pontosan azért, amit tartalmaznak. Egy kiskereskedelmi adatbázistól eltérően, amely vásárlási előzményeket tárol, egy HR-rendszer egy helyen összegyűjti a személyazonosító dokumentumokat, az adónyilvántartásokat, a közvetlen átutalási adatokat és a foglalkoztatási előzményeket. A támadók ezt az adatot személyazonosság-lopás, adócsalás vagy sötét webes piactereken való értékesítés útján tudják pénzzé tenni.

A felsőoktatási intézmények egy összetett problémával szembesülnek. Az egyetemek nagy, sokszínű populációkat foglalkoztatnak, köztük oktatókat, munkatársakat, alvállalkozókat és diákmunkásokat, és gyakran több tucat különböző informatikai felügyeletű részleg keretein belül működnek. Az olyan harmadik feles vállalati szoftverszállítók, mint az Oracle, további kockázatot jelentenek, mivel a szállító kódjában lévő egyetlen sérülékenység az adott platformot futtató összes ügyfélre kihatással lehet. A támadási felület nem csupán az egyetem maga, hanem mindenki, aki ugyanazt a szoftverkészletet használja.

Ez nem elszigetelt jelenség. Ahogy a Stryker adatszivárgásnál is látható volt, a támadók egyre inkább a vállalati szoftverréteg ellen irányítják figyelmüket, ahelyett hogy közvetlenül egyedi szervezeteket céloznának meg. Ha egy széles körben használt platformban van egy hiba, annak egyszeri kihasználása több szervezeten átívelően több ezer ember adatait eredményezheti.

Mit tehetnek az érintett személyek, amikor az intézmények cserbenhagyják őket

Amikor egy olyan intézmény, amellyel adatokat kell megosztania, adatszivárgást szenved el, lehetőségei korlátozottak, de nem zérusak. Az első lépés annak megállapítása, hogy érintett-e. A Tulane várhatóan közvetlenül értesíti az érintett személyeket, de ha Ön jelenlegi vagy korábbi alkalmazott vagy hallgató, és nem kapott értesítést, ésszerű lépés az egyetem adatvédelmi vagy HR-irodájának felkeresése.

Miután az érintettség megerősítést nyert, az alábbi lépések praktikusak és sürgetők:

Helyezzen el hitelbefagyasztást mindhárom nagy hitelintézetnél (Equifax, Experian, TransUnion). A befagyasztás megakadályozza, hogy az Ön nevére új hitelszámlát nyissanak az Ön kifejezett hozzájárulása nélkül, és ingyenes.
Állítson be csalásriasztásokat további védelmi rétegként, amely értesíti a hitelezőket, hogy ellenőrizzék a személyazonosságot a hitel folyósítása előtt.
Figyelje szorosan bankszámláit jogosulatlan tranzakciók szempontjából, különösen akkor, ha a banki adatok megerősítetten részét képezték az érintett adatoknak.
Adja be adóbevallását korán, ha TAJ-szám érintettségéről kap értesítést. Az adóazonosság-lopás — amikor egy bűnöző az Ön TAJ-számát felhasználva nyújt be adóbevallást visszatérítés igénylése céljából — gyakori az ilyen típusú szivárgások után.
Dokumentáljon minden levelezést az egyetemtől a szivárgással kapcsolatban. Ha a csoportos kereset folytatódik, releváns lehet, hogy mikor és miről tájékoztatták Önt.

Az Edelson Lechtzin LLP által kezdeményezett potenciális csoportos kereset pénzügyi jogorvoslatot nyújthat, de a jogi eredmények időbe telnek. A személyes védelmi intézkedések nem várhatnak a perre.

Tanulságok a személyes adatbiztonsághoz: VPN-ek, megfigyelés és egyéb megoldások

Ez a szivárgás rávilágít az egyetemi adatszivárgással kapcsolatos személyes adatvédelem alapvető problémájára: az Önről tárolt legérzékenyebb adatok gyakran olyan rendszerekben vannak tárolva, amelyekbe nincs betekintése és amelyek felett nincs kontrollja. Nem tudja ellenőrizni az Oracle biztonsági gyakorlatait. Nem választhatja meg, hogy munkáltatója melyik szállítót veszi igénybe. Amit ellenőrizhet, az az, hogy milyen gyorsan észleli a problémákat, és mennyire jól korlátozza a további kitettséget.

Néhány rétegzett biztonsági szokás jelentősen csökkenti a kockázati profilját szivárgás után:

Használjon megbízható személyazonosság-figyelő szolgáltatást, amely figyeli, hogy TAJ-száma, e-mail-címei és pénzügyi számlái megjelennek-e szivárgási adatbázisokban vagy sötét webes fórumokon.
Engedélyezze a többtényezős hitelesítést minden pénzügyi és e-mail-fiókján. Ha a támadók más forrásból megszerzik hitelesítő adatait, és megpróbálják azokat az ebből a szivárgásból származó adatokkal párosítani, az MFA megakadályozza az automatizált bejelentkezési kísérleteket.
Használjon VPN-t nyilvános hálózatokon az opportunista hitelesítőadat-lehallgatás megelőzése érdekében, különösen ha utazik vagy távolról dolgozik szivárgási értesítés után. Bár a VPN nem teszi vissza a már kompromittált TAJ-számot, megakadályozza hitelesítő adatainak további kiszivárgását, miközben helyreállító lépéseket tesz.
Különítse el a pénzügyi számlákat, ahol lehetséges. Ha a Tulane HR-rendszerében szereplő banki adatok egy elsődleges számlára mutatnak, fontolja meg egy külön számla nyitását a jövőbeni közvetlen átutalások számára, hogy korlátozza bármely jövőbeli incidens hatókörét.

A valóság — amelyet az olyan esetek illusztrálnak, mint a Tulane és a Stryker szivárgás — az, hogy az érzékeny adatok intézményekre bízása eredendő kockázattal jár, mivel biztonsági helyzetük nagyrészt kívül esik az Ön ellenőrzésén. Ez nem jelent tehetetlenséget. Azt jelenti, hogy olyan személyes biztonsági szokásokat kell kialakítani, amelyek feltételezik, hogy egy szivárgás előbb-utóbb be fog következni, és felkészítenek a gyors reagálásra.

Mit jelent ez az Ön számára

Ha Ön jelenlegi vagy korábbi Tulane-alkalmazott vagy hallgató, kezelje ezt aktív helyzetként, amely azonnali intézkedést igényel, ne pedig passzívan követett hírként. Helyezzen el hitelbefagyasztásokat most, figyelje bankszámláit, és várja az egyetem értesítését. Ha úgy véli, hogy érintett lehet, de nem hallott a Tulane-tól, forduljon közvetlenül az intézményhez.

Tágabb értelemben ez az eset megerősíti, hogy a vállalati szoftverek sérülékenységei egyetlen szervezeten messze túlmutató kockázatokat hoznak létre. Minden Oracle HR-termékeket — vagy hasonló platformokat — futtató intézmény potenciális célpontot jelent. Személyes biztonsági beállításainak áttekintése — beleértve a hitelfelügyeletet, a többtényezős hitelesítést és a számlaszétválasztást — akkor is érdemes elvégezni, ha még nem kapott szivárgási értesítést.

Az intézményi szintű adatszivárgások nagyrészt kívül esnek az Ön kezén. Az, hogy milyen gyorsan reagál, és mennyire rétegzett a személyes védelme, már nem.

A Tulane Egyetem Oracle HR-rendszerének adatszivárgása TAJ-számokat és banki adatokat tett közzé

Mit tett közzé a Tulane-szivárgás, és hogyan jutottak be a támadók

Miért számítanak a HR- és bérszámfejtési rendszerek kiemelt értékű célpontoknak

Mit tehetnek az érintett személyek, amikor az intézmények cserbenhagyják őket

Tanulságok a személyes adatbiztonsághoz: VPN-ek, megfigyelés és egyéb megoldások

Mit jelent ez az Ön számára

// GYIK

// Kapcsolódó