:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/tronc/ON7PQDSKOJSQGSIXKXA4ZGXCCE.jpg "Data siswa NYC dilanggar dalam serangan cyber MOVEit")
Data sensitif dari sekitar 45.000 siswa sekolah negeri New York City — serta informasi tentang staf dan penyedia layanan sekolah — disusupi dalam serangan dunia maya global, kata pejabat pendidikan kota, Jumat.
Penyerang menargetkan kerentanan dalam perangkat lunak transfer file populer MOVEit, yang digunakan sekolah umum New York untuk berbagi dokumen dan data secara internal dan dengan penyedia pihak ketiga yang mencakup penyedia layanan pendidikan khusus.
“Keselamatan dan keamanan siswa dan staf kami, termasuk informasi dan data pribadi mereka, adalah yang paling penting bagi Departemen Pendidikan Kota New York,” kata juru bicara sekolah umum Nathaniel Styer dalam sebuah pernyataan.
“Kami akan memberikan lebih banyak informasi kepada anggota komunitas DOE yang terkena dampak sesegera mungkin,” tambahnya.
Cacat keamanan sebelumnya tidak diketahui oleh Perusahaan perangkat lunak MOVEit, Progress, atau penggunanya, menurut NYC Cyber Command. Tidak ada data sekolah umum yang dirilis pada hari Jumat, dan agensi tersebut juga tidak menghadapi ancaman atau permintaan uang tebusan.
Operasi ransomware besar-besaran melanda beberapa lembaga negara bagian dan federal, dari Departemen Energi federal dan negara bagian Maryland dan Illinois, hingga Departemen Kendaraan Bermotor dan Transportasi Louisiana dan Oregonmasing-masing.
“Saat bekerja dengan NYC Cyber Command, kami segera mengambil langkah-langkah pemulihan, dan penyelidikan internal mengungkapkan bahwa file DOE tertentu terpengaruh,” kata Styer. “Saat ini, kami tidak memiliki alasan untuk percaya bahwa ada akses tidak sah yang sedang berlangsung ke sistem DOE.”
Peretasan tersebut memengaruhi lebih sedikit siswa lokal daripada pelanggaran tahun lalu yang diperkirakan merupakan data siswa K-12 terbesar yang pernah ada secara nasional – tetapi itu mengenai informasi yang lebih sensitif.
Data pribadi yang terpengaruh berkisar dari nomor Jaminan Sosial untuk beberapa siswa dan guru, hingga sekitar 19.000 dokumen, termasuk evaluasi siswa dan laporan kemajuan layanan terkait, laporan Medicaid, dan catatan cuti karyawan internal.
Peretas juga mendapatkan akses ke nomor ID siswa dan karyawan serta tanggal lahir. Data yang terpengaruh per orang dapat bervariasi.
Pejabat pendidikan akan memberi tahu siswa yang informasi rahasianya telah dibobol mulai musim panas ini. Keluarga tersebut akan ditawarkan akses ke layanan pemantauan identitas.
Pakar keamanan siber menduga bahwa para peretas adalah kelompok ransomware yang berafiliasi dengan Rusia yang dikenal dengan akronim CL0P.
Kota tersebut bekerja sama dengan perusahaan e-discovery untuk melakukan tinjauan lengkap terhadap file yang terpengaruh, dengan hasil awal yang dirilis hari Jumat, dan menghapus server yang terpengaruh.
Investigasi oleh NYPD dan FBI sedang berlangsung.
Peretas menggunakan kerentanan perangkat lunak untuk mencuri file dari bulan lalu sekitar 100 organisasimenurut Axios, dan menuntut tebusan dari beberapa orang karena tidak menerbitkannya di situs webnya.
Berita Terkini
Seperti yang terjadi
Dapatkan pembaruan tentang pandemi virus corona dan berita lainnya saat itu terjadi dengan lansiran email berita terbaru kami.
Tahun lalu, data pribadi 820.000 siswa sekolah umum kota saat ini dan mantan dikompromikan dalam peretasan sistem penilaian dan kehadiran online yang banyak digunakan dari perusahaan Illuminate Education.
Pelanggaran itu menyebabkan penutupan sistem selama berminggu-minggu dan mendatangkan malapetaka di sekolah-sekolah kota.
Para penyerang mengakses database yang berisi nama siswa, tanggal lahir, etnis, bahasa ibu, dan nomor ID sejak tahun ajaran 2016-17. Dalam beberapa kasus, mereka menggali informasi tentang apakah siswa menerima layanan pendidikan khusus dan informasi tentang status ekonomi.
Di penghujung tahun ajaran, kota tersebut mengakhiri Illuminate Education, lagi-lagi menimbulkan gangguan bagi banyak guru dan keluarga. Sistem penilaian dan kehadiran pengganti yang dikembangkan oleh kota lambat diterapkan, membuat beberapa orang tua tidak tahu bagaimana kinerja anak-anak mereka di sekolah sepanjang musim gugur.
“Hukum privasi siswa negara disahkan hampir satu dekade yang lalu, pada tahun 2014, dengan ketentuan keamanan yang ketat,” kata Leonie Haimson, co-chair dari Parent Coalition for Student Privacy.
“Sampai hari ini, DOE tidak mematuhi undang-undang dalam hal melindungi data siswa dan sayangnya Departemen Pendidikan Negara dengan tanggung jawab pengawasan tidak berbuat banyak untuk memastikan mereka melakukannya,” tambahnya.
Dengan Layanan News Wire
