Georgia Tech victime d'une seconde violation de données, plus d'un million de personnes touchées

Une application web vulnérable pourrait avoir compromis les informations personnelles de 1,3 million d’étudiants, d’anciens élèves et d’employés du Georgia Institute of Technology, a annoncé mercredi l’institution.
La violation de données a été détectée en mars, mais elle aurait commencé en décembre 2018, ce qui donnerait à un intrus beaucoup de temps pour accéder à la base de données et extraire des informations. Cela peut avoir affecté certaines données critiques, notamment les noms, adresses, numéros de sécurité sociale et dates de naissance.
Parce qu’elles rassemblent des informations personnellement identifiables et des dossiers d’étudiants, les institutions scolaires sont une cible prioritaire – les pirates peuvent gagner des millions en revendant les données sur le dark web. Il est quelque peu surprenant que Georgia Tech, grande institution spécialisée dans les technologies de l’information et de la cybersécurité, ait subi une telle violation de fond – non pas une mais deux fois au cours des derniers mois.
La première fois, en 2018, les données de quelque 8 000 étudiants ont été accidentellement envoyées par courrier électronique à une mauvaise adresse. Mais le plus étonnant, c’est qu’en 2017, l’État de Géorgie s’est engagé à investir 60 millions de dollars dans la formation à la cybersécurité, de sorte que sa sécurité aurait dû être assurée au minimum pour protéger les données confidentielles.
«Le département américain de l’éducation et le système universitaire de Géorgie ont été informés et les personnes dont les données ont été exposées seront contactées dès que possible», a déclaré l’école.
L’équipe de cybersécurité de Georgia Tech enquête sur l’ampleur de la violation, et sur d’autres éventuelles vulnérabilités en ligne, mais aucun détail n’a été publié concernant l’application web qui l’a provoquée.