Missouris Department of Elementary and Secondary Education (DESE) har bett om ursäkt till de 620 000 tidigare och nuvarande lärare som fick sin känsliga information – inklusive deras personnummer – exponerad i DESE-certifieringsdatabasen.
Missouris Office of Administration Information Technology Services Division (OA-ITSD) och DESE kommer att skicka ut brev till de drabbade och meddela dem att deras personligt identifierbara information “kan ha äventyrats under en nyligen inträffad datasårbarhetsincident.”
Situationen orsakade nationella rubriker förra månaden eftersom guvernören i delstaten använde incidenten för att attackera The St. Louis Post-Dispatch. Josh Renaud, en reporter från tidningen, upptäckte en sårbarhet i certifieringsdatabasen som exponerade lärardata, meddelade DESE och gav dem tid att fixa det innan han publicerade sin berättelse.
Men Missouris guvernör Mike Parson hävdade att Renaud själv hade “hackat” databasen och hotat med åtal mot reportern. Sedan han blev förlöjligad av cybersäkerhetsproffs – och till och med medlemmar av sitt eget parti – har Parson använt incidenten för att samla in pengar till sig själv, och samlat in cirka 85 000 dollar tack vare en olycksbådande video som fördubblar hackanklagelserna, enligt Post-Dispatch.
Men DESE-tjänstemän, tillsammans med medlemmar av OA-ITSD, bad den här veckan om ursäkt till lärarna som fick sina uppgifter exponerade och erbjöd 12 månaders resurser för kredit- och identitetsstöldövervakning via IDX.
“Pedagoger har nog på sina tallrikar just nu, och jag vill be dem om ursäkt för den här incidenten och de ytterligare besvär det kan orsaka dem”, säger utbildningskommissionär Margie Vandeven.
“Det är oacceptabelt. Säkerheten för de data vi samlar in är av yttersta vikt för vår byrå. Du kan vara säker på att vi arbetar nära OA-ITSD för att lösa denna situation.”
Staten hävdar att det är “omedveten om eventuellt missbruk av individuell information eller om information har nåtts på ett olämpligt sätt utanför en isolerad incident.” Men tjänstemän sa att “av en överflöd av försiktighet” ville de ge lärare ett visst skydd.
De som kan ha drabbats av problemet kan kontakta IDX Call Center på 833-325-1777.
DESE förklarade att Renaud sa att han kunde se personnummer för vissa lärare “genom en process i flera steg” som innebar att man fick tillgång till certifieringsposterna för minst tre lärare och sedan tog de kodade källdata från den webbsidan och “avkodade det data.”
“Utbildares PII var endast tillgänglig på individuell basis i detta sökverktyg, och det fanns inget alternativ att avkoda SSN:er för alla lärare i systemet på en gång. Efter verifiering av hotet meddelade DESE omedelbart OA-ITSD som omedelbart inaktiverade sökverktyg för pedagogcertifiering,” sade staten.
“Tjänsterna som erbjuds via IDX kommer att kosta staten cirka 800 000 USD. Staten kunde dra nytta av ett befintligt multi-state-kontrakt med denna leverantör, vilket avsevärt sänkte kostnaden för kredit- och identitetsstöldövervakning tjänster.”
Parson hävdade ursprungligen under en presskonferens att incidenten skulle kosta staten 50 miljoner dollar i motsats till de 800 000 dollar som nu spenderas. Trots förlöjligandet som Parson fick från cybersäkerhetsexperter pågår fortfarande den Missouri Highway Patrol-ledda utredningen av incidenten.
Säkerhet
Exchange Server-bugg: Patch omedelbart, varnar Microsoft Genomsnittlig betalning för ransomware för amerikanska offer för mer än 6 miljoner USD Microsoft Patch Tisdag: 55 buggar klämda, två under aktiv exploatering Suspected REvil ransomware affiliates arrested Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel för $29 Data Management | Säkerhets-TV | CXO | Datacenter