2020年7月24日星期五

美电子云供应商遭骇客袭击 英七所大学和人权观察网站数据失窃

作者: 宇宁

图中为Blackbaud公司总部(网络截图)。

全球最大的教育管理、筹款和财务管理软件Blackbaud于今年5月份遭到袭击,包括、加、美在内的全球九所大学及观察网站的部分数据,在Blackbaud公司为骇客提供赎金后,据称骇客已经销毁了相关数据。

据雅虎网站报导,总部在南卡罗来纳州的云公司Blackbaud表示,该公司遭到骇客盗窃的数据包括这些机构的一些用户的电话号码及捐款记录,但是骇客没有获取相关人员的信用卡信息、银行账号信息或社会安全号码。

随后英国的约克大学(University of York)、牛津布鲁克斯大学(Oxford Brookes University)、罗浮堡大学(Loughborough University)、伦敦大学(University of London)、利兹大学(University of Leeds)、雷丁大学(University of Reading)、牛津大学大学学院(University College, Oxford)等七所大学证实他们在Blackbaud电子云上的数据失窃,并随后因此向本校的学生、教工和捐款人致歉。报导表示,骇客盗窃了某些大学中校友捐赠的信息;但是在另外一些袭击中失窃数据还包括该学校教工、学生和其他捐赠者信息。

报导表示,加拿大的安布罗斯大学(Ambrose University)和的罗得岛设计学院(Rhode Island School of Design)、非政府组织(Human Rights Watch)及儿童精神健康慈善机构“年轻心灵(Young Minds)”等大学和机构存储在该电子云上的信息也失窃。

BlackBaud公司在其网站发表声明称,“本公司于2020年5月发现并阻止了一起勒索软件袭击,在我们将这些犯罪分子赶出我们的网络之前,他们已经从我们系统中获取了一部分数据副本。”该公司表示他们为骇客提供了赎金,骇客随后证实他们销毁了那些数据。

报导表示,虽然为骇客提供赎金并不非法,但是包括美国联邦调查局(FBI)、英国国家刑事局(NCA)和欧洲刑警组织(Europol)等执法机构都反对给凶犯支付赎金。

针对Blackbaud公司的这种骇客不会滥用失窃数据的说法,雷丁大学校友、网络安全专家摩根(Rhys Morgan)表示质疑,他说:“他们怎么知道骇客会拿这些数据做什么呢?”

Blackbaud在其网上证实,“该公司的大多数客户未受到影响”,并列举未受到影响的大机构包括:伦敦大学学院(University College London)、贝尔法斯特女王大学(Queen’s University Belfast)、西苏格兰大学(University of the West of Scotland)、救济组织(Islamic Relief)、预防组织(Prevent Breast Cancer),表示这些机构在其电子云上存储的数据都未受到影响。

Blackbaud公司还表示,其在与执法部门和第三方调查人员一起监控这些数据是否在黑网上流传或出售。

根据欧盟的《通用数据保护条例》(GDPR),遭到大规模骇客袭击的公司在案发72个小时内就需要将案件报告给数据保护局,否则或可能会遭到处罚。而英国的资讯专员办公室(Information Commissioner’s Office)和加拿大的数据保护局都是上周末才得到的信息

英国资讯专员办公室的一位女发言人说:“Blackbaud公司已经向我们报告了涉及到多个数据控制机构的数据失窃的案件,我们将对Blackbaud公司和相关的数据控制机构进行查询。”该办公室鼓励所有受到影响的监管机构自行评估并决定是否需要对他们单独报告此案。

利兹大学则在一份声明中表示:“我们想向校友保证,自从我们了解到此案后,我们一直在不懈地对此案进行调查,以准确的通知所有受到影响的个人。目前我们的校友群仍无需采取任何行动,但是我们正如我们一直所说的,我们仍然敦促大家保持警惕。”

人权观察组织则于7月22日发表声明表示,他们于7月16日得到他们的数据遭到骇客袭击,部分捐赠者和有意捐款者的信息失窃的消息。人权观察组织立刻就此展开了调查,并于7月22日给该数据库中所有有效网址的用户发送信息,告知了他们此案。该组织还承诺,尽快通知信息失窃的人员相关消息。

人权观察组织还表示,该组织非常重视数据安全,因此对此事非常遗憾,为了防止这种情况再次发生,该组织已经不再使用Blackbaud电子云处理新的信用卡或捐赠者信息。

来源:希望之声记者宇宁综合编译

没有评论:

发表评论