Missouris Department of Elementary and Secondary Education (DESE) har undskyldt over for de 620.000 tidligere og nuværende undervisere, som fik deres følsomme oplysninger – inklusive deres cpr-numre – afsløret i DESE-certificeringsdatabasen.
Missouri's Office of Administration Information Technology Services Division (OA-ITSD) og DESE vil sende breve til de berørte med besked om, at deres personligt identificerbare oplysninger “kan være blevet kompromitteret under en nylig hændelse med datasårbarhed.”
Situationen forårsagede nationale overskrifter i sidste måned, fordi guvernøren i staten brugte hændelsen til at angribe The St. Louis Post-Dispatch. Josh Renaud, en reporter fra avisen, opdagede en sårbarhed i certificeringsdatabasen, der afslørede lærerdata, underrettede DESE og gav dem tid til at rette det, før han udgav sin historie.
Men Missouris guvernør Mike Parson hævdede, at Renaud selv havde “hacket” databasen og truet med retslige anklager mod reporteren. Siden han blev latterliggjort af cybersikkerhedsprofessionelle – og endda medlemmer af sit eget parti – har Parson brugt hændelsen til at indsamle penge til sig selv og indbragt omkring $85.000 takket være en ildevarslende video, der fordoblede hacking-anklagerne, ifølge Post-Dispatch.
Men DESE embedsmænd, sammen med medlemmer af OA-ITSD, undskyldte denne uge til lærerne, der fik deres data afsløret og tilbød 12 måneders kredit- og identitetstyveriovervågningsressourcer gennem IDX.
“Pædagoger har nok på deres tallerkener lige nu, og jeg vil gerne undskylde over for dem for denne hændelse og de yderligere gener, det kan forårsage dem,” sagde uddannelseskommissær Margie Vandeven.
“Det er uacceptabelt. Sikkerheden af de data, vi indsamler, er af yderste vigtighed for vores agentur. Vær sikker på, at vi arbejder tæt sammen med OA-ITSD for at løse denne situation.”
Staten hævder, at det er “uvidende om misbrug af individuelle oplysninger, eller hvis oplysninger blev tilgået upassende uden for en isoleret hændelse.” Men embedsmænd sagde, at “af en overflod af forsigtighed” ønskede de at give lærere en vis beskyttelse.
De, der muligvis er blevet berørt af problemet, kan kontakte IDX Call Center på 833-325-1777.
DESE forklarede, at Renaud sagde, at han var i stand til at se cpr-numrene for visse lærere “gennem en flertrinsproces”, der involverede at få adgang til certificeringsposterne for mindst tre undervisere og derefter tage de kodede kildedata fra denne webside og “afkode det data.”
“Pædagogers PII var kun tilgængelig på individuel basis i dette søgeværktøj, og der var ingen mulighed for at afkode SSN'er for alle undervisere i systemet på én gang. Efter verifikation af truslen underrettede DESE straks OA-ITSD, som straks deaktiverede søgeværktøj til undervisercertificering,” sagde staten.
“De tjenester, der tilbydes gennem IDX, vil koste staten ca. $800.000. Staten var i stand til at drage fordel af en eksisterende multi-state kontrakt med denne leverandør, som betydeligt sænkede omkostningerne til kredit- og identitetstyveriovervågning tjenester.”
Parson hævdede oprindeligt under en pressekonference, at hændelsen ville koste staten $50 millioner i modsætning til de $800.000, der nu bliver brugt. På trods af den latterliggørelse, Parson fik fra cybersikkerhedseksperter, er den Missouri Highway Patrol-ledede undersøgelse af hændelsen stadig i gang.
Sikkerhed
Exchange Server-fejl: Patch med det samme, advarer Microsoft Gennemsnitlig ransomware-betaling for amerikanske ofre for mere end $6 millioner Microsoft Patch tirsdag: 55 fejl knust, to under aktiv udnyttelse Suspected REvil ransomware affiliates arresteret Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle til $29 Data Management | Sikkerheds-tv | CXO | Datacentre