Vilken typ av personlig information exponerades i Tulane Universitys dataintrång?

Intrånget exponerade namn, personnummer och bankuppgifter tillhörande drabbade individer. Denna kombination av data kan möjliggöra identitetsbedrägeri, direkt ekonomisk stöld och öppnande av bedrägliga konton.

Hur fick angriparna tillgång till Tulane Universitys HR-system?

Angripare utnyttjade en sårbarhet i en Oracle-plattform som Tulane University använde för att hantera HR-systemets filer. Bristen i den underliggande Oracle-mjukvaran gjorde institutionen till ett potentiellt mål.

Vilken advokatbyrå utreder Tulane Universitys dataintrång?

Edelson Lechtzin LLP utreder händelsen på uppdrag av drabbade individer. Intrånget har utlöst en potentiell grupptalan.

Varför anses HR- och lönesystem vara högvärdiga mål för cyberkriminella?

HR- och löneplattformar samlar identitetshandlingar, skatteunderlag, uppgifter för direktinsättning och anställningshistorik på ett och samma ställe, vilket gör dem mycket attraktiva för angripare. Kriminella kan tjäna pengar på dessa uppgifter genom identitetsstöld, skattebedrägeri eller genom att sälja dem på mörka webbmarknader.

Varför är universitet särskilt sårbara för denna typ av intrång?

Universitet sysselsätter stora, diversifierade populationer inom många avdelningar med varierande nivåer av IT-tillsyn, vilket skapar en bred attackyta. Dessutom introducerar tredjepartsbaserad företagsmjukvara som Oracle extra risk eftersom en enda sårbarhet kan påverka varje institution som kör den plattformen.

Tulane Universitys Oracle HR-intrång exponerar personnummer och bankuppgifter

Ett dataintrång vid Tulane University har utlöst en potentiell grupptalan efter att obehöriga parter utnyttjade en sårbarhet i en Oracle-plattform för att komma åt HR-systemets filer. Intrånget exponerade mycket känslig personlig information, inklusive namn, personnummer och bankuppgifter. Advokatbyrån Edelson Lechtzin LLP utreder nu händelsen på uppdrag av berörda individer. För den som navigerar kring universitetsdataintrång och skydd av personuppgifter är detta fall en skarp påminnelse om att även välresurserade institutioner kan lämna människor exponerade utan att det är deras eget fel.

Vad Tulane-intrånget exponerade och hur angriparna tog sig in

Enligt den information som Tulane University bekräftat utnyttjade angripare en sårbarhet i en Oracle-plattform som användes för att hantera HR-systemets filer. Oracle-produkter används i stor utsträckning inom stora organisationer för affärssystemsplanering, lönehantering och personaladministration. När en brist finns i den underliggande plattformen blir varje institution som kör den ett potentiellt mål.

De uppgifter som exponerades i detta intrång tillhör några av de mest skadliga kategorier en angripare kan få tag i. Personnummer kan användas för år av identitetsbedrägeri. Bankuppgifter öppnar dörren för direkt ekonomisk stöld. Fullständiga namn kopplade till båda ger allt som behövs för att utge sig för att vara någon annan eller öppna bedrägliga konton i deras namn. Drabbade individer valde inte att lagra dessa uppgifter i Tulanes tredjepartsbaserade Oracle-system. De var tvungna att göra det, som ett villkor för anställning eller inskrivning.

Varför HR- och lönesystem är högvärdiga mål

HR- och löneplattformar hör till de mest attraktiva målen för cyberkriminella just på grund av vad de innehåller. Till skillnad från en detaljhandelsdatabas som lagrar köphistorik samlar ett HR-system identitetshandlingar, skatteunderlag, uppgifter för direktinsättning och anställningshistorik på ett och samma ställe. Angripare kan tjäna pengar på dessa uppgifter genom identitetsstöld, skattebedrägeri eller försäljning på mörka webbmarknader.

Institutioner inom högre utbildning ställs inför ett sammansatt problem. Universitet sysselsätter stora, diversifierade populationer inklusive lärare, personal, entreprenörer och studentarbetare, och de verkar ofta inom dussintals avdelningar med varierande nivåer av IT-tillsyn. Tredjepartsleverantörer av företagsmjukvara som Oracle introducerar ytterligare risk eftersom en enda sårbarhet i leverantörens kod kan sprida sig till varje kund som kör den plattformen. Attackytan är inte bara universitetet; det är alla som använder samma mjukvarustapel.

Detta är inte ett isolerat mönster. Som sett i Stryker-dataintrånget riktar angripare i allt högre grad in sig på företagsmjukvarulagret snarare än att direkt angripa enskilda organisationer. När en allmänt använd plattform har en brist kan ett enda utnyttjande av den ge data från tusentals människor i flera organisationer.

Vad drabbade individer kan göra när organisationer sviker dem

När en institution som du är tvungen att dela data med drabbas av ett intrång är dina alternativ begränsade men inte obefintliga. Det första steget är att bekräfta om du är drabbad. Tulane förväntas meddela individer direkt, men om du är nuvarande eller tidigare anställd eller student och inte har fått någon kommunikation är det rimligt att kontakta universitetets dataskydds- eller HR-avdelning.

När exponeringen är bekräftad är följande steg praktiska och brådskande:

Lägg en kreditfrysning hos alla tre stora kreditbyråer (Equifax, Experian, TransUnion). En frysning förhindrar att nya kreditkonton öppnas i ditt namn utan ditt uttryckliga samtycke, och det är gratis.
Ställ in bedrägerivarningar som ett ytterligare lager som meddelar långivare att verifiera identitet innan kredit beviljas.
Övervaka bankkonton noga efter obehöriga transaktioner, särskilt om bankuppgifter bekräftats ingå i den exponerade datan.
Lämna in din skattedeklaration tidigt om du får ett meddelande om exponering av personnummer. Skatteidentitetsbedrägeri, där en kriminell lämnar in en deklaration med ditt personnummer för att kräva återbetalning, är vanligt efter intrång av denna typ.
Dokumentera all korrespondens från universitetet angående intrånget. Om grupptalan fortskrider kan det vara relevant att ha dokumentation om vad du informerades om och när.

Den potentiella grupptalan från Edelson Lechtzin LLP kan ge ekonomisk upprättelse, men rättsliga utfall tar tid. Personliga skyddsåtgärder bör inte vänta på rättsprocessen.

Lärdomar för personlig datasäkerhet: VPN, övervakning och mer

Detta intrång belyser ett grundläggande problem med skydd av personuppgifter vid universitetsdataintrång: de känsligaste uppgifterna som finns om dig lagras ofta i system du inte har insyn i och inte har kontroll över. Du kan inte granska Oracles säkerhetspraxis. Du kan inte välja vilken leverantör din arbetsgivare använder. Det du kan kontrollera är hur snabbt du upptäcker problem och hur väl du begränsar ytterligare exponering.

Några skiktade säkerhetsvanor minskar avsevärt din riskprofil efter ett intrång:

Använd en välrenommerad identitetsövervakningstjänst som bevakar om ditt personnummer, e-postadresser och finansiella konton dyker upp i intrångsdatabaser eller på mörka webbforum.
Aktivera multifaktorautentisering på varje finans- och e-postkonto. Om angripare erhåller dina inloggningsuppgifter från en annan källa och försöker para dem med data från detta intrång stoppar MFA automatiserade inloggningsförsök.
Använd ett VPN på offentliga nätverk för att förhindra opportunistisk avlyssning av inloggningsuppgifter, särskilt om du reser eller arbetar på distans efter ett intrångsmeddelande. Även om ett VPN inte kan ångra ett redan komprometterat personnummer förhindrar det ytterligare exponering av dina inloggningsuppgifter när du vidtar avhjälpande åtgärder.
Separera finansiella konton där möjligt. Om bankuppgifterna i Tulanes HR-system pekar på ett primärt konto, överväg att öppna ett separat konto för direktinsättningar framöver för att begränsa skadeverkningarna vid eventuella framtida händelser.

Verkligheten, illustrerad av fall som Tulane och Stryker-intrånget, är att det innebär en inneboende risk att anförtro institutioner med dina känsliga uppgifter eftersom deras säkerhetsläge till stor del ligger utanför din kontroll. Det innebär inte hjälplöshet. Det innebär att bygga personliga säkerhetsvanor som förutsätter att ett intrång förr eller senare kommer att inträffa och förbereder dig på att svara snabbt.

Vad detta betyder för dig

Om du är nuvarande eller tidigare anställd eller student vid Tulane, behandla detta som en aktiv situation som kräver omedelbara åtgärder, inte som en nyhet att följa passivt. Lägg kreditfrysningar nu, övervaka dina bankkonton och håll utkik efter eventuella meddelanden från universitetet. Om du tror att du kan ha drabbats och inte hört från Tulane, kontakta dem direkt.

Mer övergripande förstärker detta fall att sårbarheter i företagsmjukvara skapar risker som sprider sig långt bortom enskilda organisationer. Varje institution som kör Oracle HR-produkter, eller liknande plattformar, utgör ett potentiellt mål. Att se över din personliga säkerhetsinställning, inklusive kreditövervakning, multifaktorautentisering och kontoseparation, är värdefullt oavsett om du har fått ett intrångsmeddelande eller inte.

Dataintrång på institutionell nivå ligger till stor del utanför din kontroll. Hur snabbt du reagerar, och hur skiktat ditt personliga försvar är, gör det inte.