Confirmarea furtului de date la Universitatea din Pennsylvania
Universitatea din Pennsylvania a confirmat marți că un hacker a furat date ale universității în cadrul unei breșe de date care a avut loc săptămâna trecută. Alumni și alți afiliați au primit emailuri suspecte din partea unor adrese oficiale ale universității.
Mesajul hackerilor
Mesajul hackerilor spunea: “Ne-am spart sistemul. Ne place să încălcăm legi federale precum FERPA (toate datele voastre vor fi făcute publice). Vă rugăm să nu ne mai dați bani.”
Detalii despre breșă
Inițial, universitatea a declarat pentru TechCrunch că emailul era “fraudulent”, dar acum a confirmat că datele au fost furate în timpul breșei. Într-un comunicat, universitatea a menționat: “Pe 31 octombrie, Penn a descoperit că un grup select de sisteme informaționale legate de activitățile de dezvoltare și alumni ai Penn a fost compromis.” Personalul universității a reacționat rapid, blocând sistemele pentru a preveni accesul neautorizat suplimentar, dar nu înainte ca un email fraudulos să fie trimis comunității și informații să fie furate de atacator.
Cauza breșei
Universitatea a afirmat că breșa a avut loc în urma unui atac de inginerie socială, o tehnică de hacking prin care indivizii sunt păcăliți să ofere informații sensibile, cum ar fi acreditivele de conectare, posibil prin phishing sau apeluri telefonice.
Excepții de la autentificarea multi-factor
Un angajat al Penn, care nu a fost numit, a declarat că universitatea cere studenților, personalului și alumni să utilizeze autentificarea multi-factor (MFA) ca măsură de securitate; totuși, s-a menționat că unii funcționari de rang înalt au primit excepții de la cerințele MFA.
TechCrunch a întrebat Penn despre aceste excepții și despre procentajul de adoptare a MFA în rândul personalului, dar un purtător de cuvânt al universității a refuzat să comenteze, oferind doar informații de pe pagina oficială a incidentului de date.
Notificarea persoanelor afectate
Așa cum este cerut de lege, Penn a declarat că va contacta persoanele ale căror informații personale au fost accesate de hacker. Universitatea nu a specificat când vor avea loc aceste notificări, câte persoane sunt afectate sau ce informații au fost accesate.
Contextul atacului și motivația hackerului
Daily Pennsylvanian raportează că hackerul a afirmat că a furat documente legate de donatorii universității, chitanțe de tranzacții bancare și informații personale identificabile. Hackerul a declarat că motivația sa era de natură financiară.
Atacurile asupra universităților au devenit o practică mai frecventă. De exemplu, în acest an, hackerii au compromis Columbia University, accesând informații sensibile despre aproximativ 870.000 de studenți și candidați, inclusiv numerele lor de securitate socială și statutul cetățeniei.
Atât atacul asupra Penn, cât și cel asupra Columbia par a fi motivate de nemulțumiri față de politicile de acțiune afirmativă. Hackerul de la Penn a scris în emailul trimis comunității universitare că “angajăm și admitem imbecili pentru că ne plac moștenitorii, donatorii și cei necalificați.” În același timp, hackerul de la Columbia a declarat că a dorit să acceseze date de la universitate pentru a investiga practicile sale de acțiune afirmativă.
Concluzie
Atacul cibernetic asupra Universității din Pennsylvania evidențiază vulnerabilitățile instituțiilor de învățământ superior și importanța măsurilor de securitate adecvate pentru protejarea datelor personale ale studenților și alumniilor.




