0
0
O pesquisador de segurança cibernética Jeremiah Fowler revelou uma violação significativa de dados que levantou sérias preocupações sobre a segurança de informações confidenciais no setor educacional. Fowler se deparou com um banco de dados desprotegido contendo impressionantes 682.438 registros relacionados a instituições educacionais.
Os dados expostos pertenciam à Southern Association of Independent Schools, Inc ( SAIS ), uma proeminente organização sem fins lucrativos que fornece suporte a escolas e educadores nos Estados Unidos e em vários outros países.
O escopo da violação:
O vazamento de dados continha uma vasta gama de informações confidenciais, abrangendo de 2012 a 2023, tornando-se um tesouro para possíveis criminosos cibernéticos. Os documentos comprometidos abrangiam várias categorias, incluindo registros de alunos e professores, informações de saúde, números de seguridade social (SSN), atirador ativo e notificações de bloqueio, mapas escolares, orçamentos financeiros e muito mais.
Uma preocupação especial eram os relatórios confidenciais de segurança de terceiros, avaliando os pontos fracos da segurança escolar, localizações de câmeras, pontos de acesso e outras informações vitais que poderiam representar um risco de segurança no mundo real para alunos e professores.
Registros sensíveis expostos:
O grande volume de dados no banco de dados violado totalizou impressionantes 572,8 GB, compreendendo vários formatos de arquivo, como PDF, Excel, PPTX, doc, docx, png, jpg e páginas.
De acordo com a postagem no blog de Fowler , entre os registros expostos, estavam informações de identificação pessoal (PII) e informações médicas privadas de alunos, verificações de antecedentes de professores, detalhes salariais e informações de entrevistas. Além disso, a violação revelou orçamentos, relatórios financeiros, registros de veículos, apólices de seguro, registros fiscais, documentos de treinamento e vários outros arquivos diversos.
Riscos e implicações potenciais:
Os dados expostos apresentaram uma série de riscos potenciais , variando de extorsão direta a roubo de identidade e crimes financeiros mais sofisticados. Criminosos com acesso a tais registros confidenciais podem explorar as informações para atividades fraudulentas, incluindo a obtenção de empréstimos ou crédito em nome de instituições educacionais.
Além disso, os planos de resposta a emergências vazados e os detalhes de segurança da escola podem ser usados por agentes mal-intencionados para planejar ataques a escolas, colocando em risco a segurança de alunos e funcionários.
Medidas recomendadas para segurança aprimorada:
Para mitigar riscos futuros, escolas, organizações educacionais e órgãos de credenciamento devem priorizar a implementação de protocolos básicos de segurança, como firewalls, criptografia e autenticação multifator.
Além disso, a realização de treinamento regular da equipe sobre as melhores práticas de segurança cibernética e o estabelecimento de planos abrangentes de resposta a incidentes podem abordar e gerenciar melhor as violações de dados, caso ocorram.
Conformidade de Resposta e Proteção de Dados da SAIS:
Ao receber a notificação de divulgação responsável de Jeremiah Fowler, a SAIS agiu rapidamente para proteger o banco de dados exposto e agradeceu o aviso oportuno do pesquisador. No entanto, ainda não está claro se os indivíduos potencialmente afetados ou as autoridades relevantes foram prontamente notificados sobre a exposição dos dados.
É essencial que as instituições educacionais cumpram as leis de proteção de dados, incluindo a Lei de Privacidade e Direitos Educacionais da Família ( FERPA ) e a Lei de Proteção à Privacidade Online das Crianças ( COPA ), para proteger informações confidenciais e manter a privacidade de alunos, professores e pais .
FONTE: HACK READ