Uitgerekend het opleidingsinstituut dat honderden trainingen heeft gegeven om werknemers bewust te maken van cybersecurity, is zelf het slachtoffer geworden van phishing. Een werknemer van het Sans Institute trapte in een phishingmail.
Waarna zich het scenario ontrolde waarvoor Sans in zijn cursussen waarschuwt: liefst 28.000 records met persoonlijke identificeerbare informatie raakten in verkeerde handen. De aanvaller bleek toegang te hebben gekregen tot 513 e-mails, veelal vol privégegevens.
De Sans-medewerker had een malafide Microsoft 365-app toegang tot zijn account gegeven. Vervolgens stelde de aanvaller een regel in waardoor inkomende e-mails naar een e-mailadres van hem werden doorgestuurd.
Sans, naar eigen zeggen ‘wereldwijd de meest gewaardeerde en veruit grootste bron voor cybersecuritytrainingen en -certificeringen’, gaat de slachtoffers van het datalek thans informeren.
Deze pijnlijke datalek werd ontdekt in dezelfde week waarin Sans de media had uitgenodigd om eens een kijkje bij de cursus Security Awareness in Amsterdam te nemen. ‘Dit trainingsprogramma is samengesteld door een wereldwijd netwerk van ’s werelds meest deskundige cybersecurity-experts,’ zo prees Sans zichzelf aan. En: ‘Sans Security Awareness heeft met meer dan 1.300 organisaties samengewerkt en meer dan 6,5 miljoen medewerkers opgeleid.’
Sans kan dus een nieuwe case toevoegen aan het cursusmateriaal. Op internet werden ook vraagtekens gezet achter de effectiviteit van dit soort cursussen. In elk geval is duidelijk dat iedereen die even niet oplet, slachtoffer van phishing kan worden. Zelfs security-specialisten.
