コロラド州立大学 (CSU) は、最近の MOVEit Transfer データ盗難攻撃の際に、Clop ランサムウェア オペレーションにより、現学生および元学生および従業員の機密の個人情報が盗まれたことを確認しました。
コロラド州立大学は、約 28,000 人の学生と 6,000 人の学務職員を擁する公立研究大学で、5 億 5,800 万ドルの寄付金で運営されています。
大学は、2023 年 7 月 12 日に学生と職員に対し、攻撃者がこれらの攻撃を通じて職員と学生の個人データにアクセスしたことを通知しました。
データ侵害の実際の範囲と影響はまだ評価中ですが、CSUはサイバーインシデント専用のWebページで次の声明を発表しました。
「影響を受けるベンダーが管理している CSU の見込み学生、現学生、元学生、および現および元従業員に関するデータの一部には、名、ミドルネームのイニシャル、姓、生年月日、学生または従業員の ID 番号、社会的情報などの個人を特定できる情報が含まれています。セキュリティ番号、性別、民族性、教育レベルと分野などの人口統計情報。」 CSUは警告した。
同大学は、盗まれたデータは2021年、おそらくはそれ以前のものであり、卒業生が影響を受けた可能性があるとしている。
このデータの漏洩は、CSU によって運用または保守されているシステムへの直接の侵害の結果ではなく、むしろ大学のサービス ベンダーである TIAA、National Student Clearinghouse、Corebridge Financial、Genworth Financial、Sunlife、および The Hartford による侵害の結果です。
これらのプロバイダーはすべて、MOVEit Transfer セキュリティ ファイル転送プラットフォームを利用していましたが、2023 年 5 月に相次ぐデータ盗難攻撃でこのプラットフォームが侵害されました。
CSUによると、上記の団体は全米の多くの大学にサービスを提供しているため、他の教育機関も近いうちに同様の開示を公表する可能性がある。
それ以来、 ストーニー ブルック大学、 デラウェア大学、 ウェスタン保健科学大学が、 TIAA、NSC、コアブリッジ ファイナンシャルの侵害に関連するデータ侵害の通知を投稿しました。
現在、CSU は法医学専門家の協力を得て内部調査を実施し、どの記録と個人が事件の影響を受けたかを特定しており、追加のリソースと保護に関するガイダンスを含む個別の通知書をそれらの人々に送付する予定です。
一方、CSU コミュニティのすべてのメンバーは引き続き警戒し、個人情報盗難の疑いのある事件を大学および法執行機関に報告するようアドバイスされます。
現在、CSU メンバーには個人情報盗難防止サービスは提供されていないため、ここで公開されている FTC のアドバイスに従うことが推奨されています。
H/T:ブレット・キャロウ
Comments