Missouri's Department of Elementary and Secondary Education (DESE) heeft excuses aangeboden aan de 620.000 vroegere en huidige onderwijzers die hun gevoelige informatie — inclusief hun sofinummer — openbaar hadden gemaakt in de DESE-certificeringsdatabase.
Missouri's Office of Administration Information Technology Services Division (OA-ITSD) en de DESE zullen brieven naar de getroffenen sturen om hen te informeren dat hun persoonlijk identificeerbare informatie “mogelijk is aangetast tijdens een recent incident met kwetsbaarheden in gegevens.”
De situatie zorgde vorige maand voor landelijke krantenkoppen omdat de gouverneur van de staat het incident gebruikte om The St. Louis Post-Dispatch aan te vallen. Josh Renaud, een verslaggever van de krant, ontdekte een kwetsbaarheid in de certificeringsdatabase die de gegevens van de leraar openbaarde, bracht de DESE op de hoogte en gaf hen de tijd om het te repareren voordat hij zijn verhaal publiceerde.
Maar de gouverneur van Missouri, Mike Parson, beweerde dat Renaud de database zelf had 'gehackt' en dreigde met juridische aanklachten tegen de verslaggever. Sinds hij belachelijk werd gemaakt door cyberbeveiligingsprofessionals – en zelfs leden van zijn eigen partij – heeft Parson het incident gebruikt om geld in te zamelen voor zichzelf, waarbij hij ongeveer $ 85.000 opbracht dankzij een onheilspellende video die de beschuldigingen van hacking verdubbelt, volgens de Post-Dispatch.
Maar DESE-functionarissen boden, naast leden van OA-ITSD, deze week hun excuses aan aan de leraren die hun gegevens openbaar hadden gemaakt en boden 12 maanden krediet- en identiteitsdiefstalbewakingsmiddelen via IDX.
“Onderwijzers hebben op dit moment genoeg op hun bordje en ik wil hen mijn excuses aanbieden voor dit incident en het extra ongemak dat het hen kan veroorzaken”, zei commissaris voor Onderwijs Margie Vandeven.
“Het is onaanvaardbaar. De veiligheid van de gegevens die we verzamelen is van het grootste belang voor ons bureau. U kunt er zeker van zijn dat we nauw samenwerken met OA-ITSD om deze situatie op te lossen.”
De staat beweert dat dit het geval is. “niet op de hoogte van enig misbruik van individuele informatie of als informatie op ongepaste wijze is verkregen buiten een geïsoleerd incident.” Maar ambtenaren zeiden dat ze “uit een overvloed aan voorzichtigheid” leraren enige bescherming wilden bieden.
Degenen die mogelijk door het probleem zijn getroffen, kunnen contact opnemen met het IDX Call Center op 833-325-1777.
DESE legde uit dat Renaud zei dat hij in staat was om de sofinummers van bepaalde leraren te bekijken “via een meerstappenproces” waarbij toegang werd verkregen tot de certificeringsgegevens van ten minste drie docenten en vervolgens de gecodeerde brongegevens van die webpagina en “decodering van die gegevens.”
“De PII van docenten was alleen toegankelijk op individuele basis binnen deze zoekfunctie en er was geen optie om SSN's voor alle docenten in het systeem in één keer te decoderen. Na verificatie van de dreiging bracht DESE onmiddellijk OA-ITSD op de hoogte, die de hulpmiddel voor het zoeken naar certificering van docenten”, aldus de staat.
“De diensten die worden aangeboden via IDX zullen de staat ongeveer $ 800.000 kosten. De staat kon profiteren van een bestaand multi-state contract met deze leverancier, waardoor de kosten voor de controle op krediet- en identiteitsdiefstal aanzienlijk werden verlaagd diensten.”
Parson beweerde oorspronkelijk tijdens een persconferentie dat het incident de staat $ 50 miljoen zou kosten, in plaats van de $ 800.000 die nu wordt uitgegeven. Ondanks de spot die Parson kreeg van cyberbeveiligingsexperts, is het door de Missouri Highway Patrol geleide onderzoek naar het incident nog steeds aan de gang.
Beveiliging
Exchange Server-bug: patch onmiddellijk, waarschuwt Microsoft Gemiddelde ransomware-betaling voor Amerikaanse slachtoffers meer dan $ 6 miljoen Microsoft Patch dinsdag: 55 bugs geplet, twee onder actief misbruik Verdacht REvil ransomware-filialen gearresteerd Het beste phishing-doelwit? Uw smartphone Waarom u deze beveiligingssleutel van $29 nodig heeft Gegevensbeheer | Beveiliging TV | CXO | Datacenters