教育企業McGraw-Hillは、BleepingComputerへの声明で、ハッカーがSalesforceの設定ミスを悪用して内部データにアクセスしたことを確認しました。
同社は、この侵害がSalesforceアカウント、顧客データベース、または内部システムに影響を与えなかったこと、また公開されたデータの量は限定的で機密性がないことを保証しています。
「McGraw-Hillは最近、Salesforceのプラットフォーム上でホストされているウェブページからの限定的なデータへの不正アクセスを特定しました。このアクティビティは、Salesforceの環境内の設定ミスに関わるより広い問題の一部であると思われ、Salesforceと連携する複数の組織に影響を与えています」とMcGraw-Hillのスポークスパーソンは述べました。
「重要なことに、これはMcGraw-HillのSalesforceアカウント、顧客データベース、コースウェア、または内部システムへの不正アクセスを伴いませんでした」と会社代表者は付け加えました。
McGraw-Hillはさらに、外部サイバーセキュリティ専門家の助けを借りた調査により、公開された情報には社会保障番号(SSN)、財務アカウント情報、または教育プラットフォームの学生データが含まれていないことが明らかになったと述べています。
学習コンテンツとプラットフォームに焦点を当てたグローバル教育企業であるMcGraw-Hillは、教科書、デジタル学習プラットフォーム、およびK-12学校と大学システムを提供しています。同社は教育出版の主要プレイヤーであり、年間売上高は22億ドルです。
サイバー攻撃に関する声明は、恐喝グループShinyHuntersがそのダークウェブポータルでMcGraw-Hillを被害者として発表し、身代金が支払われなければ4月14日までに盗まれたデータを漏らすと脅迫したことに応じたものです。
悪名高い脅迫者は、個人識別情報(PII)を含む4,500万件のSalesforceレコードを保有していると主張しており、これは侵害されたデータが機密性がないという企業の声明と矛盾しています。
McGraw-Hillはまた、BleepingComputerに対し、不正アクティビティを検出した後、影響を受けたウェブページは直ちに保護されたこと、およびSalesforceと緊密に連携して保護をさらに強化し、問題が完全に対処されることを確認していると述べました。
ShinyHuntersデータ恐喝グループは、年初以来、Rockstar Games、Hims & Hers、欧州委員会、Telus Digital、Wynn Resorts、Canada Goose、Match Group、Panera Bread、およびCarGurusを含むいくつかの確認された有名なセキュリティ侵害を実行しています。
3月には、脅迫グループはK-12学生情報システムも運営するアメリカ企業Infinite Campusにも侵入しました。
