Een Amerikaans schooldistrict heeft meer dan 500.000 huidige en oud-leerlingen gewaarschuwd voor een datalek nadat meerdere medewerkers het slachtoffer van phishing werden. Het gaat om het San Diego Unified School District waar meer dan 121.000 scholieren dagelijks gebruik van maken.

Het it-personeel van het schooldistrict ontdekte in oktober dat een “ongeautoriseerde gebruiker” inloggegevens van medewerkers verzamelde om op de netwerkdiensten van het schooldistrict in te loggen. Het ging onder andere om de studentendatabase. Om de inloggegevens van medewerkers te stelen maakte de aanvaller gebruik van phishing. Van zo’n 50 medewerkers zijn de inloggegevens buitgemaakt.

Verder onderzoek wees uit dat de aanvaller al vanaf januari dit jaar tot 1 november toegang had tot de systemen van het schooldistrict. Het schooldistrict zegt in een verklaring dat het heeft gewacht met het waarschuwen van getroffen studenten om de aanvaller niet te alarmeren.

De mogelijk bekeken en gestolen gegevens gaan terug tot het schooljaar van 2008-2009 en bevatten allerlei persoonlijke gegevens van leerlingen, zoals naam, geboortedatum, adresgegevens, telefoonnummer, gezondheidsinformatie, incidenten, aanwezigheidsgegevens, juridische informatie, social security nummers en gegevens van contactpersonen.

Tevens zijn er gegevens van districtsmedewerkers gecompromitteerd, waaronder salarisgegevens, toeslagen, rekeninggegevens, betaaladviezen, belastinggegevens en verlofregelingen. Alle getroffen studenten en medewerkers zijn inmiddels ingelicht. Het onderzoek is nog gaande. Verder zegt het schooldistrict aanvullende beveiligingsmaatregelen te hebben geïmplementeerd.