Missouris Department of Elementary and Secondary Education (DESE) har bedt om unnskyldning til de 620 000 tidligere og nåværende lærerne som fikk sensitiv informasjon – inkludert personnummer – eksponert i DESE-sertifiseringsdatabasen.
Missouri's Office of Administration Information Technology Services Division (OA-ITSD) og DESE vil sende ut brev til de berørte og varsle dem om at deres personlig identifiserbare informasjon “kan ha blitt kompromittert under en nylig hendelse med datasårbarhet.”
Situasjonen skapte nasjonale overskrifter forrige måned fordi guvernøren i staten brukte hendelsen til å angripe The St. Louis Post-Dispatch. Josh Renaud, en reporter fra avisen, oppdaget en sårbarhet i sertifiseringsdatabasen som avslørte lærerdata, varslet DESE og ga dem tid til å fikse det før han publiserte historien hans.
Men Missouri-guvernør Mike Parson hevdet at Renaud hadde “hakket” databasen selv og truet med juridiske anklager mot reporteren. Siden han ble latterliggjort av cybersikkerhetseksperter – og til og med medlemmer av sitt eget parti – har Parson brukt hendelsen til å samle inn penger til seg selv, og skaffet rundt 85 000 dollar takket være en illevarslende video som dobler hackinganklagene, ifølge Post-Dispatch.
Men DESE-tjenestemenn, sammen med medlemmer av OA-ITSD, ba denne uken om unnskyldning til lærerne som fikk dataene sine avslørt og tilbød 12 måneder med kreditt- og identitetstyveriovervåkingsressurser gjennom IDX.
“Pedagoger har nok på tallerkenen akkurat nå, og jeg vil be dem om unnskyldning for denne hendelsen og den ekstra ulempen den kan medføre dem,” sa utdanningskommissær Margie Vandeven.
“Det er uakseptabelt. Sikkerheten til dataene vi samler inn er av største betydning for byrået vårt. Vær trygg på at vi jobber tett med OA-ITSD for å løse denne situasjonen.”
Staten hevder det er “uvitende om misbruk av individuell informasjon eller om informasjon ble tilgang til upassende utenfor en isolert hendelse.” Men tjenestemenn sa at “av en overflod av forsiktighet,” de ønsket å gi lærere en viss beskyttelse.
De som kan ha blitt berørt av problemet kan kontakte IDX Call Center på 833-325-1777.
DESE forklarte at Renaud sa at han var i stand til å se personnummeret til visse lærere “gjennom en flertrinnsprosess” som innebar tilgang til sertifiseringspostene til minst tre lærere og deretter ta de kodede kildedataene fra den nettsiden og “dekode det data.”
“PII for lærere var kun tilgjengelig på individuell basis i dette søkeverktøyet, og det var ingen mulighet for å dekode SSN-er for alle lærere i systemet på en gang. Etter verifisering av trusselen varslet DESE umiddelbart OA-ITSD som umiddelbart deaktiverte søkeverktøy for sertifisering for lærere,” sa staten.
“Tjenestene som tilbys gjennom IDX vil koste staten omtrent $800 000. Staten var i stand til å dra nytte av en eksisterende multi-state kontrakt med denne leverandøren, som betydelig reduserte kostnadene for kreditt- og identitetstyveriovervåking tjenester.”
Parson hevdet opprinnelig under en pressekonferanse at hendelsen ville koste staten 50 millioner dollar i motsetning til 800 000 dollar som nå blir brukt. Til tross for latterliggjøringen Parson fikk fra cybersikkerhetseksperter, pågår den Missouri Highway Patrol-ledede etterforskningen av hendelsen fortsatt.
Sikkerhet
Exchange Server-feil: Oppdater umiddelbart, advarer Microsoft Gjennomsnittlig ransomware-betaling for amerikanske ofre mer enn $6 millioner Microsoft Patch tirsdag: 55 bugs knust, to under aktiv utnyttelse Mistenkt REvil ransomware-tilknyttede selskaper arrestert Det beste phishing-målet? Din smarttelefon Hvorfor trenger du denne sikkerhetsnøkkelen på $29 Data Management | Sikkerhets-TV | CXO | Datasentre