[ad_1]
Une intrusion dans les systèmes informatiques du district scolaire de Los Angeles a commencé plus d’un mois plus tôt que prévu et a probablement exposé des informations confidentielles, y compris des numéros de sécurité sociale, de plus de 500 personnes qui travaillaient pour des sous-traitants du district, selon des informations déposées auprès de l’État. .
Comme le district l’a précédemment révélé, la faille de sécurité ne semble pas s’étendre aux registres de paie et aux numéros de sécurité sociale des dizaines de milliers d’employés du district. Un nombre non divulgué d’étudiants inscrits à un moment donné de 2013 à 2016 et certains employés au cours de cette période semblent avoir perdu des informations telles que leur date de naissance et leur adresse. Les districts scolaires de Californie ne collectent pas les numéros de sécurité sociale des étudiants.
Les informations mises à jour proviennent d’un « avis de violation de données » que le deuxième plus grand système scolaire du pays était tenu, en vertu de la loi de l’État, d’envoyer aux victimes potentielles.
Vendredi, les responsables du district scolaire n’ont pas fourni d’informations sur le nombre de victimes possibles. En plus de devoir informer les victimes, une lettre de notification doit être déposée auprès du procureur général de l’État lorsque le nombre de personnes concernées dépasse 500 résidents californiens, le seuil obligatoire pour la notification publique.
Les responsables du district avaient précédemment déclaré qu’il y aurait un nombre restreint mais non encore déterminé de victimes – des « valeurs aberrantes », comme le surintendant. Alberto Carvalho les a décrits. Les victimes seraient informées et assistées, a-t-il ajouté, tout en soulignant que le récit dominant était celui d’une pire catastrophe évitée.
Les pirates se sont enfuis avec environ 500 gigaoctets de données – un chiffre convenu à la fois par les pirates et le système scolaire. C’est un gros transport par rapport à ce qu’un utilisateur individuel maintiendrait, mais une infime fraction des données sous le contrôle de LA Unified.
Le vol de données n’est qu’une partie d’une attaque. La deuxième partie consiste à chiffrer les systèmes informatiques afin que ses utilisateurs ne puissent pas y accéder, paralysant la capacité de mener leurs activités quotidiennes. Les pirates ont réussi à chiffrer les serveurs dans la division des installations du district, mais ont eu un succès limité ailleurs, même si les opérations normales, y compris l’enseignement en classe et la tenue de registres, ont été plus difficiles pendant environ deux semaines. Les écoles n’ont jamais dû être temporairement fermées – ce qui s’est produit ailleurs lorsque certains systèmes scolaires ont été attaqués.
LA Unified a refusé de payer une rançon et les pirates ont répondu en publiant les données dont ils disposaient sur le dark web, où d’autres acteurs malveillants pourraient les utiliser à des fins telles que le vol d’identité.
Les responsables du district ont publiquement caractérisé pendant des mois l’attaque comme commençant et se terminant le 3 septembre – le samedi du week-end de la fête du Travail. Les techniciens du district, lorsqu’ils ont remarqué l’attaque, ont agi rapidement et avec un succès substantiel pour limiter sa portée.
« D’une manière très, très unique, nous avons arrêté l’attaque en cours de route », a déclaré Carvalho lors d’une conférence de presse en octobre. « C’est très inhabituel. Ce qui se passe généralement, c’est que l’entité découvre l’attaque après que les informations ont été capturées, téléchargées et que les serveurs du système [are] crypté. … Je peux vous dire qu’il y a eu un certain nombre de systèmes dans ce pays qui ont été victimes de ce même acteur qui n’ont pas eu cette chance.
L’enquête de suivi a déterminé qu’une intrusion avait commencé dès le 31 juillet.
« Entre le 31 juillet 2022 et le 3 septembre 2022, un acteur non autorisé a accédé et acquis certains fichiers conservés sur nos serveurs », indique l’avis requis, qui a été déposé auprès de l’État la semaine dernière.
Les archives de l’État indiquent la durée de la violation comme commençant le 31 juillet et se terminant le 3 septembre.
Vendredi, le district a déclaré que le scénario original d’attaque d’une journée restait correct.
« L’enquête a révélé que l’acteur de la menace était engagé dans une reconnaissance le 31 juillet 2022 ou vers cette date », a indiqué un communiqué du district. « La cyberattaque a commencé et s’est terminée le 3 septembre 2022. »
Pour les experts en cybersécurité, la divulgation dans la lettre de notification n’était pas une surprise. Ils avaient prédit qu’une enquête révélerait que l’intrusion dans le système avait commencé plus tôt que ce qui avait été annoncé.
« Les pirates sont souvent à l’intérieur des réseaux pendant des semaines voire des mois avant de déployer le ransomware qui crypte les systèmes », a déclaré Brett Callow, analyste des menaces pour la société de cybersécurité Emsisoft. « Cela signifie qu’il existe une fenêtre d’opportunité au cours de laquelle les menaces peuvent être détectées et neutralisées avant qu’elles ne deviennent des incidents de ransomware à part entière. »
« En termes simples, tout un tas de choses se produisent avant que les systèmes ne soient verrouillés », a-t-il ajouté. « Le pirate doit faire une reconnaissance, entrer dans le réseau, s’assurer qu’il peut y revenir, accéder à d’autres zones du réseau, exfiltrer des données, etc., etc. Toutes ces étapes nécessitent qu’il fasse certaines choses – et ces choses peuvent être détectées si vous les recherchez.
Un rapport Emsisoft récemment publié indique que le nombre annuel de cyberattaques connues contre les systèmes scolaires en 2022 était à peu près le même que ces dernières années malgré « les décrets exécutifs, les sommets internationaux, les efforts accrus pour perturber l’écosystème des rançongiciels et la création par le Congrès d’un organisme interinstitutions, le groupe de travail conjoint sur les ransomwares, pour unifier et renforcer les efforts.
Mais on ne sait pas si les attaques causent des dommages accrus, selon le rapport.
« Une diminution du niveau de perturbation causée par des attaques ou du montant payé en rançons pourrait être considérée comme une victoire même si le nombre d’incidents avait augmenté », indique le rapport, tout en notant que les données permettant de tirer une telle conclusion étaient largement indisponibles. .
L’avis de violation de données LA Unified contenait des nouvelles indésirables pour les sous-traitants du district sur la base de l’enquête en cours.
«Le 9 janvier 2023, nous avons identifié des documents de conformité du travail, y compris des registres de paie certifiés, que les sous-traitants ont fournis à LA Unified dans le cadre des projets de la division des services des installations», indique l’avis. « Ces fichiers contenaient les noms, adresses et numéros de sécurité sociale des employés des entrepreneurs et sous-traitants et d’autres personnes affiliées. »
Carvalho, qui est devenu surintendant il y a près d’un an, a récemment déclaré que le district était plus vulnérable en raison de manquements évitables. Il s’agit notamment de ne pas avoir suivi les principales recommandations d’un audit interne de cybersécurité préparé il y a plus de deux ans, a-t-il déclaré.
[ad_2]
Source link -21