活动摘要

国家学生信息交换中心(简称“信息交换中心”)使用MOVEit Transfer工具 由软件供应商Progress software提供,以支持文件传输. MOVEitTransfer中的安全漏洞允许对传输的文件进行未经授权的访问 通过工具. 在得知这个漏洞后,Clearinghouse立即启动了 一项调查,以了解它对票据交换所和我们的客户的影响. 调查显示,未经授权的第三方获得了某些文件 通过本软件传输的,包括包含个人信息的文件 票据交换所代表我们的客户维护的信息. 受影响的文件包括 然后进行分析,确定其个人信息出现在其中的个体 文件和向信息交换中心提交这些信息的数据提供者.
请仔细阅读此页,因为它包含有关哪些数据的重要信息 是否受到了影响,你需要做些什么.

事件详情


2023年5月31日,第三方软件提供商Progress software宣布了一项安全措施 该漏洞与MOVEit Transfer软件有关,可能影响数千人 世界范围内的组织. MOVEit Transfer是许多组织使用的软件工具, 包括信息交换中心,以支持文件的传输. 根据进展 软件,一个未经授权的第三方在MOVEit传输中发现了一个漏洞 允许未经授权访问通过该工具传输的文件的软件.

在得知这个漏洞后,Clearinghouse立即展开了调查 并采取措施保护我们的相关系统. 我们向执法部门报告了这个问题 并与领先的网络安全专家合作,了解该问题的影响 我们的组织和我们的客户. 信息交换所迅速采取行动保护 我们的系统和我们的客户的数据通过应用相关的安全补丁和 遵循国土安全部网络安全和基础设施部门的指导 安全局,联邦调查局,以及其他网络安全专家. 作为预防措施,我们重建了信息交换所的整个MOVEit环境, 我们已经实施了额外的监测措施,以帮助我们进一步识别 与问题相关的活动.

根据调查,我们认定是未经授权的第三方获取了 通过MOVEit Transfer软件传输的某些文件,包括包含 信息交换所代表我们的客户维护的个人信息. 未授权方于2023年5月30日左右获得文件. 虽然票据交换所 在5月得知这个漏洞后,我们立即开始了内部调查 直到2023年6月20日,我们才知道某些文件被访问了 由未经授权的一方. 从那时起,信息交换所一直在努力工作 了解受影响文件的性质和范围,并与相关部门沟通 pg电子app下载事件的数据提供者和我们正在采取的步骤,以回应 事件. 我们在协助下对受影响的文件进行了两阶段的审查 第三方供应商的. 在第一阶段,数据提供者的信息 出现在文件中被识别. 第二阶段涉及识别个人 谁的个人信息出现在文件中,确定了个人的类型 文件中的信息,并将这些信息连接到提交的数据提供者 寄到票据交换所.

信息中心向国家信息中心提供了有关人员的姓名 我们的组织,其个人信息在受影响的文件中被识别出来. 这些人将根据他们的名字被识别出来,因为他们出现在受影响的地方 文件.

在一些受影响的文件中,个人信息,如社会安全号码, 学生身份证号码或出生日期出现了. 然而,在pg电子app下载确认的个人没有社会安全号码, 学生身份证号码,或出生日期从我们的组织出现在 受影响的文件. 对于已识别的个人,受影响的个人信息类型可能包括 姓名、联系方式和教育信息,如入学、学位、 以及课程级别的数据(例如,来自成绩单和PostsecondaryData Partnership) 报告),尽管信息的类型因个人而异.

http://alert.studentclearinghouse.org/  

国家信息交换中心常见问题解答

未经授权的第三方发现软件供应商存在安全漏洞 Progress Software的MOVEit传输工具,允许未经授权的访问文件 通过工具传递. 未经授权的一方利用该漏洞 获得未经授权访问clearinghouse的MOVEit环境,并获得某些 文件,包括信息交换所维护的包含个人信息的文件 我代表我们的客户.

Progress Software在2023年5月31日宣布了安全漏洞,而Clearinghouse 及时展开调查,了解该漏洞对公司的影响 我们的组织和我们的客户. 2023年6月20日,调查显示 未经授权的第三方从Clearinghouse的MOVEit环境中获取了文件 2023年5月30日左右.

是的,信息交换所立即向执法部门报告了这一事件.

未经授权的第三方获取的文件中包含个人信息 票据交换所代表我们的客户进行维护. 个人信息是相关的 面向教育机构的在校生、往届学生和教育客户 金融组织. 对于可用列表中确定的个人,类型 受影响的个人信息可能包括姓名、联系方式和教育背景 诸如注册、学位和课程级别数据等信息(例如,来自成绩单) 及高等教育数据伙伴关系报告). 个人信息的类型 文件中包含的内容是否因个人而异.
在一些受影响的文件中,个人信息,如社会安全号码, 学生身份证号码,或出生日期出现. 然而,个体 没有社会安全号码,学生身份证号, 或受影响文件中出现的组织的出生日期.

在得知MOVEit Transfer软件的漏洞后,Clearinghouse 迅速展开调查,并采取措施确保相关系统的安全. 我们向执法部门报告了这个问题,并与领先的网络安全专家合作 了解问题对我们的组织和客户的影响.

一旦我们得知某些文件被未经授权的机构获取,信息交换中心 开始与第三方供应商合作,审查和分析相关文件. 这项审查包括两个阶段. 在第一阶段,供应商确定了 数据提供者的信息出现在受影响的文件中,启用了Clearinghouse 通知受影响的数据提供者. 在第二阶段,供应商确定 在受影响的文件中出现个人信息的个人确定 文件中个人信息的类型,以及所连接的个人信息 将数据提交给信息交换中心的数据提供者. 信息交换所提供 从受影响文件的评审和分析中获得的信息.

我们认为,根据我们采取的重大措施,这个问题得到了控制 进一步加强我们的系统及客户资料的保安. 清算所 使用Progress Software发布的相关安全补丁,并遵循指导 来自国土安全部网络安全和基础设施安全部门 机构、联邦调查局、Mandiant、微软和其他网络安全公司 专家. 作为预防措施,我们建造了清算所的整个MOVEit 环境,使我们的客户数据进入一个崭新的、原始的状态 未经授权的第三方从未访问过的环境. 我们也有 实施了额外的监测措施,以帮助我们识别任何进一步的活动 与这个问题相关.

信息交换所一直在定期与数据提供商就MOVEit进行沟通 转让事宜并提供相关调查的最新进展. 我们通知了数据 供应商在得知问题涉及他们可能拥有的某些信息后 提供给我们. 从那时起,我们继续与受影响的数据提供商进行沟通 pg电子app下载正在进行的对受影响文件的评审和分析,以及对受影响文件的支持 Clearinghouse正在向数据提供商提供服务.

在最近发给国家信息中心的信中,信息交换所表示我们将 向您提供对门户的访问权限以及在 门户.
因为没有社会安全号码,学生证号码,或出生日期 您的组织所提供的,是为在 门户网站,国家安全委员会将不会通知个人代表国家安全委员会. 因此,票据交换所 没有要求pg电子app下载对其中的个人采取任何行动吗 这个列表.