.
Uma universidade americana fundada em 1833 está enfrentando vários processos de ação coletiva depois que os dados pessoais de quase 100.000 pessoas foram roubados de sua infraestrutura de tecnologia.
E como os dados incluem a mina de ouro da fraude de identidade dos nomes das vítimas e números de seguridade social (SSNs), um dos processos alega que o perigo para os afetados pode continuar por “suas vidas”.
SSNs são atribuídos no nascimento e nunca mudam, e permitem que as agências do governo dos EUA identifiquem indivíduos em seus registros e “empresas rastreiem as informações financeiras de um indivíduo”. Com apenas um CPF, nome e endereço, os criminosos podem fazer um cartão de crédito ou empréstimo em nome da vítima. Também pode ser usado para obter assistência médica (e acumular contas) em nome da pessoa, ou o criminoso pode se identificar usando-o quando for preso – dando à vítima um registro criminal.
Os invasores passaram 12 dias vasculhando os servidores e postaram os detalhes pessoais que encontraram na dark web. De acordo com o aviso de violação de dados da Mercer University em Macon, Geórgia, 93.512 pessoas foram afetadas.
Uma das denúncias alega que os atacantes eram membros da gangue de ransomware Akira, que, de acordo com Sophosusa uma “estética retrô em seu site de vítima” que lembra os consoles de tela verde e possivelmente foi nomeado para o filme anime de 1988.
As queixas – todas pedindo um julgamento por júri – incluem uma da professora visitante de Yale, Jennifer Kilkus. [PDF], que lecionou na Mercer uni de 2016 a 2018; outro de um ex-aluno não identificado que se autodenomina John Doe [PDF], que diz ter sofrido cobranças fraudulentas no cartão de crédito após a violação; e outro do ex-aluno Ping Wang [PDF].
O aviso de violação disse que o ataque ocorreu de 12 a 24 de fevereiro e só foi descoberto em 30 de abril. Dados incluindo nome e “outros identificadores pessoais” em combinação com carteiras de motorista e números de Seguro Social (SSNs) foram roubados. Kilkus, no entanto, diz em sua reclamação que “se a Mercer tivesse exercido diligência razoável em sua investigação, teria descoberto muito antes” que as informações de identificação pessoal (PII) foram expostas”.
Todos os processos alegam negligência, alegando que pouco cuidado foi tomado para proteger as PII dos queixosos, com o processo de Doe alegando: “Até mais de um mês depois de alegar ter descoberto a violação de dados, o réu começou a enviar o aviso às pessoas cujas PII e /ou as informações financeiras confirmadas pelo réu foram potencialmente comprometidas como resultado da violação de dados.”
O processo de Wang, por sua vez, acusa especificamente a universidade de supostamente não implementar a segmentação de rede básica ou criptografar as informações confidenciais que vazaram.
A denúncia afirma: “A Mercer University tinha muitas informações confidenciais não criptografadas mantidas em seus sistemas”.
A Mercer lançou um declaração em 9 de maio, dizendo: “Embora a Universidade tenha tomado medidas extensivas para proteger a privacidade de suas informações, alguns dados – números da Previdência Social e números da carteira de motorista – foram removidos de seus sistemas sem autorização. A Universidade não encontrou evidências de que informações financeiras pessoais foi removido.”
Strong The One notamos que a Mercer arquivou o aviso de violação de dados com o procurador-geral do estado do Maine, sob uma lei que se aplica apenas a dados pessoais que não são criptografados, mas não querendo levar isso ao pé da letra, perguntamos à instituição se ela tinha alguma criptografia em vigor. Ele se recusou a comentar sobre litígios pendentes.
A queixa de Wang também alega que “de acordo com postagens na dark web” onde a gangue Akira supostamente postou as informações privadas dos réus, os criminosos “declararam que a Mercer University se recusou a pagar o resgate”.
O aviso de violação apresentado ao procurador-geral do Maine incluía o exemplo de carta enviada aos afetados, que afirmava: “A Mercer University leva muito a sério a segurança de nossos sistemas de computador. Mesmo assim, como muitas instituições de ensino superior, recentemente tivemos acesso ilegal a nossos sistemas de computador.” Ele disse que ofereceu “serviços gratuitos de proteção contra roubo de identidade por meio de uma assinatura de um ano com a Experian IdentityWorks”.
É discutível se um ano será suficiente. A queixa de Wang afirma: “Pelo resto de suas vidas, o autor e os membros da classe terão que lidar com o perigo de ladrões de identidade possuírem e fazerem uso indevido de suas informações privadas”.
A reclamação de Kilkus alega que a universidade falhou em treinar funcionários em protocolos básicos de segurança da informação e que, devido ao tipo de dados que a Mercer coletou e armazenou, “era altamente previsível que pessoas mal-intencionadas tentariam acessá-los sem permissão”.
O governo federal aconselha que “cada vez que um indivíduo divulga seu SSN” há “potencial para um ladrão obter acesso ilegitimo a contas bancárias, cartões de crédito, registros de direção, históricos de impostos e empregos e outros aumentos de informações privadas”.
Isto recomenda que os SSNs devem ser coletados apenas como último recurso e que devem ser armazenados de forma criptografada.
Os federais aprenderam da maneira mais difícil, exigindo apenas a criptografia de dados confidenciais armazenados em seus laptops após um roubo em 2006 de equipamentos de informática que continham dados em 26,5 milhões de veteranos. ®
.
