การละเมิดข้อมูล Oracle HR ของมหาวิทยาลัย Tulane เปิดเผยหมายเลข SSN และข้อมูลธนาคาร

การละเมิดข้อมูล Oracle HR ของมหาวิทยาลัย Tulane เปิดเผยหมายเลข SSN และข้อมูลธนาคาร

การละเมิดข้อมูลที่มหาวิทยาลัย Tulane ได้จุดชนวนให้เกิดคดีความแบบ class action หลังจากผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ในแพลตฟอร์ม Oracle เพื่อเข้าถึงไฟล์ระบบ HR การละเมิดดังกล่าวเปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนอย่างยิ่ง ได้แก่ ชื่อ หมายเลขประกันสังคม และรายละเอียดธนาคาร บริษัทกฎหมาย Edelson Lechtzin LLP กำลังสืบสวนเหตุการณ์นี้ในนามของผู้ที่ได้รับผลกระทบ สำหรับผู้ที่กำลังรับมือกับความกังวลเรื่องการปกป้องข้อมูลส่วนบุคคลจากการละเมิดข้อมูลในมหาวิทยาลัย คดีนี้เป็นเครื่องเตือนใจที่ชัดเจนว่าแม้แต่สถาบันที่มีทรัพยากรมากมายก็อาจทำให้ผู้คนเผชิญความเสี่ยงโดยที่พวกเขาไม่ได้ทำอะไรผิดเลย

สิ่งที่ถูกเปิดเผยในการละเมิดข้อมูลของ Tulane และวิธีที่ผู้โจมตีเข้าถึงระบบ

ตามข้อมูลที่มหาวิทยาลัย Tulane ยืนยัน ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในแพลตฟอร์ม Oracle ที่ใช้จัดการไฟล์ระบบ HR ผลิตภัณฑ์ของ Oracle ถูกนำไปใช้งานอย่างแพร่หลายในองค์กรขนาดใหญ่สำหรับการวางแผนทรัพยากรองค์กร การประมวลผลเงินเดือน และการจัดการทรัพยากรบุคคล เมื่อมีช่องโหว่อยู่ในแพลตฟอร์มพื้นฐานนั้น ทุกสถาบันที่ใช้งานแพลตฟอร์มดังกล่าวก็กลายเป็นเป้าหมายที่อาจถูกโจมตีได้

ข้อมูลที่ถูกเปิดเผยในการละเมิดครั้งนี้ถือเป็นหนึ่งในประเภทข้อมูลที่สร้างความเสียหายมากที่สุดที่ผู้โจมตีสามารถได้รับ หมายเลขประกันสังคมสามารถถูกนำไปใช้ในการฉ้อโกงข้อมูลประจำตัวได้นานหลายปี ข้อมูลธนาคารเปิดโอกาสให้เกิดการโจรกรรมทางการเงินโดยตรง ชื่อเต็มที่เชื่อมโยงกับทั้งสองอย่างมอบทุกสิ่งที่จำเป็นสำหรับการแอบอ้างเป็นบุคคลอื่นหรือเปิดบัญชีปลอมในชื่อของพวกเขา ผู้ที่ได้รับผลกระทบไม่ได้เลือกที่จะจัดเก็บข้อมูลนี้ในระบบ Oracle ของบุคคลที่สามของ Tulane แต่พวกเขาจำเป็นต้องทำในฐานะเงื่อนไขของการจ้างงานหรือการลงทะเบียนเรียน

เหตุใดระบบ HR และเงินเดือนจึงเป็นเป้าหมายที่มีมูลค่าสูง

แพลตฟอร์ม HR และเงินเดือนอยู่ในกลุ่มเป้าหมายที่น่าดึงดูดที่สุดสำหรับอาชญากรไซเบอร์ เนื่องจากข้อมูลที่พวกเขาเก็บรวบรวมไว้นั้นเอง ต่างจากฐานข้อมูลร้านค้าปลีกที่เก็บประวัติการซื้อ ระบบ HR รวบรวมเอกสารข้อมูลประจำตัว บันทึกภาษี รายละเอียดการฝากเงินโดยตรง และประวัติการจ้างงานไว้ในที่เดียว ผู้โจมตีสามารถสร้างรายได้จากข้อมูลนั้นผ่านการขโมยข้อมูลประจำตัว การฉ้อโกงภาษี หรือการขายในตลาดมืด

สถาบันอุดมศึกษาเผชิญกับปัญหาที่ซับซ้อนขึ้น มหาวิทยาลัยจ้างงานประชากรจำนวนมากและหลากหลาย ทั้งคณาจารย์ เจ้าหน้าที่ ผู้รับเหมา และนักศึกษาที่ทำงาน และมักดำเนินงานในหลายสิบแผนกที่มีระดับการดูแลด้านไอทีที่แตกต่างกัน ผู้ให้บริการซอฟต์แวร์องค์กรจากบุคคลที่สามอย่าง Oracle ก่อให้เกิดความเสี่ยงเพิ่มเติมเพราะช่องโหว่เดียวในโค้ดของผู้ให้บริการสามารถแพร่กระจายไปยังทุกลูกค้าที่ใช้งานแพลตฟอร์มนั้น พื้นที่โจมตีไม่ใช่แค่มหาวิทยาลัยเท่านั้น แต่รวมถึงทุกคนที่ใช้ซอฟต์แวร์ชุดเดียวกัน

นี่ไม่ใช่รูปแบบที่เกิดขึ้นโดดเดี่ยว ดังที่เห็นได้จากการละเมิดข้อมูลของ Stryker ผู้โจมตีมุ่งเป้าไปที่ชั้นซอฟต์แวร์องค์กรมากขึ้นแทนที่จะโจมตีองค์กรแต่ละแห่งโดยตรง เมื่อแพลตฟอร์มที่ใช้กันอย่างแพร่หลายมีช่องโหว่ การใช้ประโยชน์จากมันเพียงครั้งเดียวสามารถดึงข้อมูลของผู้คนหลายพันคนจากหลายองค์กรได้

สิ่งที่ผู้ได้รับผลกระทบสามารถทำได้เมื่อองค์กรล้มเหลว

เมื่อสถาบันที่คุณจำเป็นต้องแบ่งปันข้อมูลด้วยประสบกับการละเมิด ตัวเลือกของคุณมีจำกัดแต่ไม่ใช่ว่าไม่มีเลย ขั้นตอนแรกคือการยืนยันว่าคุณได้รับผลกระทบหรือไม่ Tulane คาดว่าจะแจ้งให้บุคคลทราบโดยตรง แต่ถ้าคุณเป็นพนักงานปัจจุบันหรืออดีต หรือนักศึกษา และยังไม่ได้รับการติดต่อ การติดต่อสำนักงานคุ้มครองข้อมูลหรือ HR ของมหาวิทยาลัยโดยตรงถือเป็นสิ่งที่สมเหตุสมผล

เมื่อยืนยันการเปิดเผยแล้ว ขั้นตอนต่อไปนี้เป็นสิ่งที่ควรปฏิบัติอย่างเร่งด่วน:

• ล็อคเครดิตของคุณ กับสำนักงานเครดิตหลักทั้งสามแห่ง (Equifax, Experian, TransUnion) การล็อคเครดิตจะป้องกันไม่ให้มีการเปิดบัญชีเครดิตใหม่ในชื่อของคุณโดยไม่ได้รับความยินยอมอย่างชัดเจนจากคุณ และไม่มีค่าใช้จ่าย
• ตั้งการแจ้งเตือนการฉ้อโกง เพื่อเป็นชั้นป้องกันเพิ่มเติมที่แจ้งให้ผู้ให้กู้ยืมตรวจสอบข้อมูลประจำตัวก่อนการขยายวงเงินสินเชื่อ
• ตรวจสอบบัญชีธนาคารอย่างใกล้ชิด เพื่อหาธุรกรรมที่ไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งหากมีการยืนยันว่าข้อมูลธนาคารเป็นส่วนหนึ่งของข้อมูลที่ถูกเปิดเผย
• ยื่นแบบภาษีของคุณแต่เนิ่นๆ หากคุณได้รับแจ้งว่าหมายเลขประกันสังคมถูกเปิดเผย การฉ้อโกงด้านภาษี ซึ่งอาชญากรยื่นแบบแสดงรายการโดยใช้ SSN ของคุณเพื่อเรียกเงินคืน เป็นเรื่องที่พบได้บ่อยหลังจากการละเมิดประเภทนี้
• บันทึกเอกสารการติดต่อทั้งหมด จากมหาวิทยาลัยเกี่ยวกับการละเมิด หากคดี class action ดำเนินต่อไป การมีบันทึกว่าคุณได้รับแจ้งอะไรและเมื่อใดอาจมีความเกี่ยวข้อง

คดี class action ที่อาจเกิดขึ้นโดย Edelson Lechtzin LLP อาจให้การเยียวยาทางการเงิน แต่ผลลัพธ์ทางกฎหมายต้องใช้เวลา การดำเนินการป้องกันส่วนบุคคลไม่ควรรอการดำเนินคดี

บทเรียนสำหรับความปลอดภัยข้อมูลส่วนบุคคล: VPN การติดตาม และอื่นๆ

การละเมิดนี้เน้นย้ำถึงปัญหาพื้นฐานของการปกป้องข้อมูลส่วนบุคคลจากการละเมิดข้อมูลในมหาวิทยาลัย: ข้อมูลที่ละเอียดอ่อนที่สุดเกี่ยวกับคุณมักถูกจัดเก็บในระบบที่คุณไม่มีความสามารถในการมองเห็นและไม่สามารถควบคุมได้ คุณไม่สามารถตรวจสอบแนวทางการรักษาความปลอดภัยของ Oracle ได้ คุณไม่สามารถเลือกผู้ให้บริการที่นายจ้างของคุณใช้ได้ สิ่งที่คุณควบคุมได้คือความเร็วในการตรวจพบปัญหาและวิธีที่คุณจำกัดการเปิดเผยเพิ่มเติม

นิสัยด้านความปลอดภัยแบบหลายชั้นไม่กี่อย่างสามารถลดโปรไฟล์ความเสี่ยงของคุณได้อย่างมีนัยสำคัญหลังจากการละเมิด:

• ใช้บริการติดตามข้อมูลประจำตัวที่มีชื่อเสียง ที่ตรวจสอบ SSN ที่อยู่อีเมล และบัญชีการเงินของคุณที่ปรากฏในฐานข้อมูลการละเมิดหรือในฟอรัมเว็บมืด
• เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย ในทุกบัญชีการเงินและอีเมล หากผู้โจมตีได้รับข้อมูลประจำตัวของคุณจากแหล่งอื่นและพยายามจับคู่กับข้อมูลจากการละเมิดครั้งนี้ MFA จะหยุดความพยายามในการล็อกอินแบบอัตโนมัติ
• ใช้ VPN บนเครือข่ายสาธารณะ เพื่อป้องกันการดักจับข้อมูลประจำตัวโดยไม่ตั้งใจ โดยเฉพาะอย่างยิ่งหากคุณกำลังเดินทางหรือทำงานจากระยะไกลหลังจากได้รับแจ้งการละเมิด แม้ว่า VPN จะไม่สามารถยกเลิกการที่ SSN ถูกละเมิดไปแล้ว แต่ก็ป้องกันการเปิดเผยข้อมูลประจำตัวเพิ่มเติมขณะที่คุณดำเนินการแก้ไข
• แยกบัญชีการเงินหากเป็นไปได้ หากข้อมูลธนาคารในระบบ HR ของ Tulane ชี้ไปที่บัญชีหลัก ลองพิจารณาเปิดบัญชีแยกต่างหากสำหรับการฝากเงินโดยตรงในอนาคตเพื่อจำกัดขอบเขตความเสียหายจากเหตุการณ์ในอนาคต

ความเป็นจริง ดังที่แสดงให้เห็นโดยกรณีของ Tulane และการละเมิดข้อมูลของ Stryker คือการไว้วางใจสถาบันด้วยข้อมูลที่ละเอียดอ่อนของคุณนั้นมีความเสี่ยงโดยธรรมชาติ เพราะท่าทีด้านความปลอดภัยของพวกเขาส่วนใหญ่อยู่นอกเหนือการควบคุมของคุณ นั่นไม่ได้หมายความว่าคุณไม่มีทางทำอะไรได้ แต่หมายความว่าคุณต้องสร้างนิสัยด้านความปลอดภัยส่วนบุคคลที่ถือว่าการละเมิดจะเกิดขึ้นในที่สุด และเตรียมพร้อมให้คุณสามารถตอบสนองได้อย่างรวดเร็ว

สิ่งที่นี่หมายความต่อคุณ

หากคุณเป็นพนักงานปัจจุบันหรืออดีต หรือนักศึกษาของ Tulane ให้ถือว่านี่เป็นสถานการณ์ที่ยังคงดำเนินอยู่และต้องการการดำเนินการทันที ไม่ใช่ข่าวที่จะติดตามอย่างเฉยๆ ล็อคเครดิตของคุณตอนนี้ ตรวจสอบบัญชีธนาคารของคุณ และคอยรับการแจ้งเตือนจากมหาวิทยาลัย หากคุณเชื่อว่าคุณอาจได้รับผลกระทบและยังไม่ได้รับการติดต่อจาก Tulane ให้ติดต่อโดยตรง

ในวงกว้างกว่านั้น คดีนี้ย้ำให้เห็นว่าช่องโหว่ในซอฟต์แวร์องค์กรสร้างความเสี่ยงที่แพร่กระจายไปไกลกว่าองค์กรใดองค์กรหนึ่ง ทุกสถาบันที่ใช้ผลิตภัณฑ์ Oracle HR หรือแพลตฟอร์มที่คล้ายกัน ล้วนเป็นเป้าหมายที่อาจถูกโจมตีได้ การตรวจสอบการตั้งค่าความปลอดภัยส่วนบุคคลของคุณ รวมถึงการติดตามเครดิต การยืนยันตัวตนแบบหลายปัจจัย และการแยกบัญชี เป็นสิ่งที่คุ้มค่าไม่ว่าคุณจะได้รับแจ้งการละเมิดหรือไม่ก็ตาม

การละเมิดข้อมูลในระดับสถาบันส่วนใหญ่อยู่นอกเหนือการควบคุมของคุณ แต่ความเร็วในการตอบสนองของคุณ และความหนาแน่นของการป้องกันส่วนบุคคลของคุณนั้นไม่ใช่