Ataque de ransomware expone datos de 500.000 estudiantes de Chicago
Las Escuelas Públicas de Chicago sufrieron una violación masiva de datos que expuso los datos de casi 500 000 estudiantes y 60 000 empleados después de que su proveedor, Battelle for Kids, sufriera un ataque de ransomware en diciembre.
Battelle for Kids, con sede en Ohio, es una organización educativa sin fines de lucro que analiza los datos de los estudiantes compartidos por los sistemas de escuelas públicas para diseñar modelos de instrucción y evaluar el desempeño de los maestros.
Battelle for Kids dice que trabajan con 267 sistemas escolares y sus programas han llegado a más de 2,8 millones de estudiantes.
Violación masiva de datos para las Escuelas Públicas de Chicago
Ayer, el distrito de Escuelas Públicas de Chicago (CPS) reveló que un ataque de ransomware el 1 de diciembre contra Battelle for Kids expuso los datos almacenados de 495 448 estudiantes y 56 138 empleados en su sistema escolar.
Según un CPS, el sistema escolar se asocia con Battelle for Kids para cargar información de los cursos de los estudiantes y datos de evaluación para las evaluaciones de los maestros.
CPS dice que los datos almacenados en los servidores de Battelle for Kids fueron para los años escolares de 2015 a 2019 y expusieron la información personal y los puntajes de evaluación de los estudiantes.
«Específicamente, una parte no autorizada obtuvo acceso al nombre, la fecha de nacimiento, el género, el nivel de grado, la escuela, el número de identificación del estudiante de las Escuelas Públicas de Chicago, el número de identificación del estudiante del estado, la información sobre los cursos que tomó el estudiante y las calificaciones de las tareas de desempeño utilizadas». para evaluaciones de maestros durante los años escolares 2015-2016, 2016-2017, 2017-2018 y/o 2018-2019″, explica la notificación de violación de datos de estudiantes de CPS.
Para el personal, los atacantes potencialmente accedieron a su nombre, escuela, número de identificación de empleado, dirección de correo electrónico de CPS y nombre de usuario de Battelle for Kids durante los años escolares 2015-2016, 2016-2017, 2017-2018 y/o 2018-2019.
CPS dice que no se expusieron números de seguro social, domicilios, datos de salud o información financiera en el ataque.
CPS proporciona monitoreo de crédito gratuito y protección contra robo de identidad a cualquier estudiante o miembro del personal afectado. Las instrucciones sobre cómo acceder a este informe de crédito gratuito se pueden encontrar en la página de violación de datos de CPS creada por el sistema escolar.
Más de cuatro meses para revelar el incumplimiento
En abril, los distritos escolares de Ohio comenzaron a emitir notificaciones de violación de datos advirtiendo a los estudiantes y al personal que sus datos estaban expuestos en el ataque de ransomware a Battelle for Kids.
Aunque CPS dice que su contrato con Battelle for Kids requiere una notificación inmediata de una violación de datos, se enteraron por primera vez de la violación cuatro meses después, el 26 de abril de 2022.
Sin embargo, no fue hasta el 11 de mayo que supieron por primera vez qué estudiantes o personal específicos tenían sus datos expuestos.
«Nuestro proveedor, Battelle for Kids, nos informó que el motivo de la demora en la notificación a CPS fue el tiempo que le tomó a Batelle verificar la autenticidad de la infracción a través de un análisis forense independiente, y que las autoridades encargadas de hacer cumplir la ley investigaran el importa», explica CPS en su página de violación de datos.
Si bien no se sabe qué pandilla de ransomware está detrás de este ataque, todos los grupos dejan notas de rescate en dispositivos cifrados que incluyen direcciones de correo electrónico o enlaces a sitios de negociación de rescate.
Como parte del proceso de extorsión, las pandillas de ransomware comúnmente brindan pruebas de que robaron datos al compartir una lista de todas las carpetas robadas y, a veces, compartir archivos individuales como prueba.
Cuando una víctima se niega a pagar un rescate, los actores de amenazas revelan públicamente que atacaron a la víctima y comienzan a filtrar los datos robados.
No ha habido ninguna divulgación pública por parte de una pandilla de ransomware que indique que violaron Battelle for Kids, lo que posiblemente indica que Battelle for Kids pagó una demanda de rescate.
El Departamento de Educación de la ciudad de Nueva York reveló una filtración de datos similar pero no relacionada en marzo, donde el ataque cibernético de un proveedor expuso los datos de 820,000 estudiantes.
BleepingComputer se ha puesto en contacto con Battelle for Kids con preguntas, pero no ha recibido respuesta en este momento.