Mon numéro de sécurité sociale a été divulgué lors d’une fuite de données à Columbia, une école avec laquelle je n’ai aucun lien
Le 24 janvier, des pirates informatiques ont divulgué des informations personnelles appartenant à des dizaines de milliers d’étudiants et d’employés de l’Université Columbia. La fuite incluait les noms, dates de naissance, numéros de sécurité sociale et autres informations personnelles identifiables appartenant à près de 50 000 personnes, selon un échantillon de 25 000 enregistrements examiné par TechCrunch.
Les chercheurs en sécurité de vx-underground, un site internet dédié à l’archivage de logiciels malveillants et d’exploits, ont fait surface de l’incident quelques heures seulement après que les pirates ont publié les données volées sur un forum de cybercriminalité. Vx-underground a reçu le crédit pour la découverte bien qu’il ait fourni peu de détails et qu’il refuse depuis de partager ce qu’il sait avec la presse.
TechCrunch a également obtenu les données divulguées et a pu confirmer que les informations contenaient des enregistrements datant de 1999 à 2011, bien que d’autres pourraient exister dans des fichiers que nous n’avons pas examinés. Les données contenaient également les signatures électroniques de certains documents, ainsi que des noms d’utilisateur et des mots de passe hachés appartenant à des employés qui avaient accès à ces fichiers.
Ce qui est particulièrement préoccupant à propos de cette violation, c’est qu’elle comprend des informations personnelles sur des personnes qui n’ont aucun lien avec l’Université Columbia. Dans certains cas, ces personnes semblent avoir été ajoutées à la base de données de Columbia parce qu’un étudiant ou un employé les a listées comme références ou contacts d’urgence. Dans d’autres, des numéros de sécurité sociale semblent avoir été saisis par erreur lors du remplissage de formulaires, créant des enregistrements fantômes avec des informations sensibles appartenant à des tiers qui ne savaient même pas que leurs données étaient stockées à Columbia.
Je sais cela parce que mon propre numéro de sécurité sociale apparaît dans les données divulguées par Columbia. Je n’ai aucun lien avec Columbia, et je n’ai jamais été étudiant, employé ou affilié à l’école de quelque manière que ce soit. Après avoir examiné de plus près les données, j’ai trouvé un enregistrement contenant mon nom, ma date de naissance et mon numéro de sécurité sociale. L’enregistrement semble avoir été créé en 2007, lorsque j’avais 15 ans. Pour autant que je sache, la seule façon dont mes informations auraient pu se retrouver dans la base de données de Columbia est si quelqu’un les a saisies par erreur.
Columbia a confirmé à TechCrunch qu’elle enquête sur l’incident et qu’elle travaille avec les forces de l’ordre, mais a refusé de dire si l’école notifierait les personnes affectées dont les informations personnelles ont été divulguées, ou si elle offrirait des services de surveillance du crédit ou de protection contre le vol d’identité.
L’école a déclaré dans un communiqué: Columbia prend la sécurité des données très au sérieux et enquête sur cet incident. Nous travaillons avec les forces de l’ordre et des experts en cybersécurité externes pour déterminer ce qui s’est passé et protéger notre communauté.
Mais pour les personnes comme moi, dont les informations ont été exposées dans une violation chez une institution avec laquelle nous n’avons aucun lien, ce n’est pas très réconfortant. Nous n’avons jamais demandé à ce que nos données soient stockées chez Columbia, et nous n’avons aucun moyen de savoir qui d’autre a pu voir ou accéder à nos informations au fil des ans. Les numéros de sécurité sociale ne peuvent pas être modifiés facilement, ce qui signifie que ces informations pourraient être utilisées pour le vol d’identité ou la fraude pendant des années à venir.
Cette violation soulève des questions importantes sur la manière dont les universités collectent, stockent et protègent les informations personnelles. Si une école comme Columbia peut accidentellement créer des enregistrements contenant les numéros de sécurité sociale de personnes qui n’ont jamais mis les pieds sur le campus, que font d’autres institutions avec nos données. Et quelles mesures prennent-elles pour s’assurer que ces informations sont correctes, sécurisées et supprimées lorsqu’elles ne sont plus nécessaires.
Pour l’instant, je surveille mes rapports de crédit et j’espère que Columbia fera ce qu’il faut en notifiant toutes les personnes affectées et en offrant des ressources pour les aider à se protéger contre le vol d’identité. Mais ce qui s’est passé ici devrait servir d’avertissement à toutes les organisations qui collectent et stockent des informations personnelles: si vous n’avez pas besoin de ces données, ne les collectez pas. Et si vous les collectez, vous avez la responsabilité de les protéger, peu importe comment elles se sont retrouvées dans votre système.
