Una violazione dei dati che ha colpito McGraw Hill ha messo alla luce informazioni legate a circa 13,5 milioni di account utente a seguito di un incidente informatico collegato a una piattaforma di terze parti.
L’azienda ha confermato che l’accesso non autorizzato è avvenuto tramite una pagina web ospitata sulla piattaforma Salesforce, che è stata influenzata da una configurazione erròstica. L’incidente è descritto come parte di un problema più ampio che riguarda più organizzazioni che utilizzano lo stesso servizio.
Secondo l’azienda, la violazione non ha comportato accesso diretto ai suoi sistemi centrali, incluse reti interne, database dei clienti o piattaforme di apprendimento digitale. Ha inoltre dichiarato che i numeri di previdenza sociale, le informazioni sui conti finanziari e i dati generati dagli studenti non erano stati esposti.
La violazione è emersa dopo che il gruppo minaccioso ShinyHunters ha inserito McGraw Hill nel sito delle fughe di notizie e ha dichiarato di aver rubato 45 milioni di documenti contenenti informazioni personali. Il gruppo ha emesso una richiesta di riscatto e ha minacciato di pubblicare i dati se non fosse stato effettuato il pagamento.
I dati successivamente condivisi tramite servizi di tracciamento delle violazioni indicano che sono stati rilasciati più di 100 GB di informazioni, inclusi 13,5 milioni di indirizzi email unici. Ulteriori registri possono contenere nomi, indirizzi fisici e numeri di telefono, anche se questi campi non erano presenti in modo coerente in tutte le voci.
I dati esposti sono descritti come informazioni personalmente identificabili che potrebbero essere utilizzate in campagne di phishing mirate. La presenza di dati di contatto collegati agli account utente aumenta la probabilità di comunicazioni fraudolente che fanno riferimento a servizi legittimi.
McGraw Hill ha dichiarato che la pagina web interessata è stata messa in sicurezza dopo l’identificazione dell’attività e che sta collaborando con Salesforce per risolvere il problema. L’azienda ha dichiarato che l’incidente era limitato nella portata e non è stato il risultato di un compromesso della propria infrastruttura interna.
La discrepanza tra la descrizione dell’azienda di un dataset limitato e l’affermazione dell’attore minaccioso di un volume maggiore di record non è stata risolta. Il numero totale di persone coinvolte oltre agli indirizzi email identificati non è stato divulgato.
L’incidente fa parte di una serie di violazioni collegate a ShinyHunters, che ha preso di mira organizzazioni sfruttando l’accesso a servizi cloud e piattaforme di terze parti piuttosto che intervenire direttamente nel sistema.