La violation de données des écoles publiques de Chicago est imputée à une attaque de ransomware tierce

Les écoles publiques de Chicago (CPS) ont averti les parents que les dossiers personnels de plus de 495 000 enfants pourraient avoir été exposés à la suite d’une attaque de ransomware contre un fournisseur tiers.

La cyberattaque contre Battelle for Kids, une organisation à but non lucratif basée dans l’Ohio dont la mission est de moderniser les systèmes scolaires, a également exposé environ 56 138 dossiers du personnel.

Données cryptées

Les cybercriminels qui déploient des ransomwares prennent régulièrement des copies de bases de données ou d’autres données avant de les chiffrer et demandent une rançon en échange d’une clé de déchiffrement. Alternativement, les attaquants peuvent menacer les victimes que, à moins qu’elles ne paient, les données volées seront probablement déversées en ligne.

Dans l’affaire CPS, des cybercriminels ont piraté un serveur qui stockait des informations sur les cours des étudiants et des données d’évaluation utilisées pour les évaluations des enseignants.

Les attaquants ont eu accès à 495 448 dossiers d’étudiants qui comprenaient les noms, dates de naissance, sexes, niveaux scolaires, cours suivis, etc. Les données collectées entre 2015 et 2019 ont été potentiellement exposées.

Les dossiers du personnel compromis comprenaient des noms, des écoles, des adresses e-mail professionnelles, des cours enseignés, etc.

Les systèmes compromis n’hébergeaient pas de numéros de sécurité sociale, d’informations financières, de données de santé ou d’adresses personnelles. Ces facteurs limitent l’impact potentiel de la faille, qui pourrait néanmoins faciliter la diffusion de messages de phishing plus que d’habitude convaincants.

Le CPS a publié un avis sur la violation vendredi dernier. Il a promis de contacter individuellement les familles et le personnel concernés et a offert aux victimes un accès gratuit à la surveillance du crédit et à la protection contre le vol d’identité.

Bataille Royale

La violation de Battelle for Kids a eu lieu le 1er décembre 2021, mais le fournisseur n’a informé CPS du problème que le 26 avril, après confirmation de la violation par un enquêteur médico-légal indépendant et une enquête policière.

Le retard avec lequel les clients concernés ont été informés de la violation a provoqué quelques critiques sur les réseaux sociaux. La gorgée quotidienne a demandé à Battelle for Kids de commenter cette critique ainsi que les circonstances qui ont conduit à la violation, quel ransomware était impliqué et quelle interaction (le cas échéant) il a eue avec les cybercriminels à l’origine de l’attaque.

Nous avons également demandé quelles organisations, le cas échéant, au-delà du CPS, étaient touchées par la violation. Aucun mot pour le moment, mais nous mettrons à jour cette histoire au fur et à mesure que de plus amples informations seront disponibles.