Een datalek die McGraw Hill treft, heeft informatie blootgelegd die gekoppeld is aan ongeveer 13,5 miljoen gebruikersaccounts na een cyberincident gekoppeld aan een platform van een derde partij.
Het bedrijf bevestigde dat ongeautoriseerde toegang plaatsvond via een webpagina die op het Salesforce-platform werd gehost, die werd getroffen door een verkeerde configuratie. Het incident wordt beschreven als onderdeel van een breder probleem dat meerdere organisaties die dezelfde dienst gebruiken treft.
Volgens het bedrijf betrof de inbreuk geen directe toegang tot de kernsystemen, waaronder interne netwerken, klantendatabases of digitale leerplatforms. Er stond ook dat burgerservicenummers, financiële rekeninginformatie en door studenten gegenereerde gegevens niet werden vrijgegeven.
De inbraak kwam aan het licht nadat de dreigingsgroep ShinyHunters McGraw Hill op haar leksite had vermeld en beweerde 45 miljoen records met persoonlijke informatie te hebben gestolen. De groep stelde een losgeldeis en dreigde de gegevens te publiceren als er geen betaling zou worden gedaan.
Gegevens die later via datalektrackingdiensten werden gedeeld, geven aan dat meer dan 100 GB aan informatie werd vrijgegeven, waaronder 13,5 miljoen unieke e-mailadressen. Aanvullende gegevens kunnen namen, fysieke adressen en telefoonnummers bevatten, hoewel deze velden niet consequent in alle vermeldingen aanwezig waren.
De blootgestelde gegevens worden beschreven als persoonlijk identificeerbare informatie die gebruikt kan worden in gerichte phishingcampagnes. De aanwezigheid van contactgegevens gekoppeld aan gebruikersaccounts vergroot de kans op frauduleuze communicatie die verwijst naar legitieme diensten.
McGraw Hill verklaarde dat de getroffen webpagina werd beveiligd nadat de activiteit was geïdentificeerd en dat het samenwerkt met Salesforce om het probleem aan te pakken. Het bedrijf zei dat het incident beperkt was in omvang en niet het gevolg was van een compromittering van de interne infrastructuur.
Het verschil tussen de beschrijving van een beperkte dataset door het bedrijf en de claim van de dreigingsactor over een groter volume records is niet opgelost. Het totale aantal getroffen personen buiten de geïdentificeerde e-mailadressen is niet bekendgemaakt.
Het incident maakt deel uit van een reeks datalekken die verband houden met ShinyHunters, waarbij organisaties worden aangepakt door toegang tot clouddiensten en platforms van derden te misbruiken in plaats van directe systeeminbraak.