Uma violação de dados que afetou a McGraw Hill expôs informações vinculadas a aproximadamente 13,5 milhões de contas de usuários após um incidente cibernético vinculado a uma plataforma de terceiros.
A empresa confirmou que o acesso não autorizado ocorreu por meio de uma página hospedada na plataforma Salesforce, que foi afetada por uma configuração incorreta. O incidente é descrito como parte de uma questão mais ampla que afeta múltiplas organizações que utilizam o mesmo serviço.
Segundo a empresa, a violação não envolveu acesso direto aos seus sistemas centrais, incluindo redes internas, bancos de dados de clientes ou plataformas digitais de aprendizagem. Também afirmou que números de Seguro Social, informações de contas financeiras e dados gerados pelos estudantes não foram expostos.
A violação veio à tona depois que o grupo ameaçador ShinyHunters listou McGraw Hill em seu site de vazamento e alegou ter roubado 45 milhões de registros contendo informações pessoais. O grupo emitiu uma exigência de resgate e ameaçou publicar os dados caso o pagamento não fosse feito.
Dados posteriormente compartilhados por meio de serviços de rastreamento de violações indicam que mais de 100 GB de informações foram liberadas, incluindo 13,5 milhões de endereços de e-mail únicos. Registros adicionais podem conter nomes, endereços físicos e números de telefone, embora esses campos não estivessem consistentemente presentes em todas as entradas.
Os dados expostos são descritos como informações pessoais identificáveis que podem ser usadas em campanhas de phishing direcionadas. A presença de dados de contato vinculados a contas de usuário aumenta a probabilidade de comunicações fraudulentas que fazem referência a serviços legítimos.
A McGraw Hill afirmou que a página afetada foi protegida após a identificação da atividade e que está trabalhando com a Salesforce para resolver o problema. A empresa afirmou que o incidente foi limitado em escopo e não resultou de comprometimento de sua infraestrutura interna.
A discrepância entre a descrição da empresa sobre um conjunto de dados limitado e a alegação do ator ameaçador sobre um volume maior de registros ainda não foi resolvida. O número total de pessoas afetadas além dos endereços de e-mail identificados não foi divulgado.
O incidente faz parte de uma série de violações ligadas ao ShinyHunters, que tem como alvo organizações explorando o acesso a serviços baseados em nuvem e plataformas de terceiros, em vez de interferir diretamente no sistema.