Universitatea din Pennsylvania a confirmat că a fost victima unei breșe cibernetice care a vizat sisteme interne legate de activitățile de dezvoltare și de relațiile cu absolvenții. Atacul, identificat la sfârșitul lunii octombrie, a implicat folosirea unor acreditări compromise obținute printr‑o fraudă de tip social engineering, iar instituția colaborează cu autoritățile și cu o firmă de securitate pentru a evalua amploarea pagubelor.
Universitatea din Pennsylvania are o lungă tradiție, fiind una dintre instituțiile de elită din Statele Unite încă din secolul al XVIII‑lea, iar în era digitală acest statut aduce și ținte mai atractive pentru atacatori. În perioada 30-31 octombrie, echipele IT au descoperit că un set de sisteme aferente departamentelor de dezvoltare și evidenței donatorilor fuseseră compromise. Compromiterea s‑a realizat prin furtul de credențiale obținute prin imitarea identității unei persoane interne, o metodă cunoscută sub denumirea de social engineering. Răspunsul a fost prompt: accesul a fost blocat și serverele izolate pentru a preveni noi intruziuni, însă înainte de această intervenție atacatorii au trimis un email ofensator către comunitate și au copiat informații interne.
Universitatea a notificat FBI și lucrează cu CrowdStrike în anchetă. Conform reportării inițiale a BleepingComputer, atacatorii au accesat contul SSO PennKey al unui angajat, ceea ce le‑a permis intrarea în instanța Salesforce a universității, în platforma de analiză Qlik, în sistemul de business intelligence SAP și în fișiere găzduite pe SharePoint și Box. Din aceste resurse au fost extrase 1, 71 GB de documente interne: foi de calcul, documente, informații financiare și materiale de marketing pentru absolvenți.
Mai grav, atacatorii au susținut că au sustras și baza de date de marketing a donatorilor din Salesforce, estimată la aproximativ 1, 2 milioane de înregistrări. Un eșantion al datelor include 158 de câmpuri distincte, conținând informații cu caracter personal, nume complet, date de naștere, sex, adrese de domiciliu și de corespondență, numere de telefon și adrese de email, precum și date financiare și privind donațiile, cum ar fi istoricul donațiilor, evaluări ale averii și sume angajate pe viață, plus detalii despre angajatori, poziții și afilieri academice.
După ce li s‑a restricționat accesul, atacatorii au afirmat că încă dețineau controlul asupra contului de Marketing Cloud al universității și că au trimis un email în masă către 700.000 de destinatari. Pe un forum folosit de hackeri, ei au declarat că nu au publicat încă înregistrările furate, dar ar putea face acest lucru în una sau două luni. Mesajele publice ale atacatorilor au combinat afirmații că motivația nu ar fi politică, ci legată de interesul pentru marea bază de donatori, cu critici la adresa politicilor universitare privind diversitatea, admiterea și favorizarea rudelor sau a persoanelor influente, conferind incidentului o tentă politico‑culturală.
Universitatea a anunțat că va întări măsurile de securitate: instruire suplimentară a personalului pentru recunoașterea atacurilor de tip social engineering, monitorizare intensivă și alte controale tehnice îmbunătățite. După finalizarea anchetei, Penn va notifica persoanele ale căror date au fost compromise. De asemenea, campusul și absolvenții sunt sfătuiți să ignore apelurile sau emailurile suspecte, care pot fi tentative de phishing sau alte tehnici de manipulare.
Atacurile asupra sistemelor instituțiilor educaționale reamintesc cât de expuse pot fi datele personale și financiare chiar și în organizații care au programe de securitate. Cazul Universității din Pennsylvania subliniază probleme practice: dependența de platforme cloud și de autentificarea unică, riscul generat de erori umane sau de abilitățile social engineering‑ului și responsabilitatea instituțiilor de a păstra încrederea donatorilor și a comunității. Exemplele din incident, 1, 71 GB de fișiere exfiltrate, 1, 2 milioane de înregistrări din Salesforce și 700.000 de emailuri trimise, evidențiază amploarea pagubelor posibile când accesul este obținut printr‑o singură credențială compromisă.
Universitatea din Pennsylvania, CrowdStrike și FBI continuă investigația. Credeți că instituțiile de învățământ fac suficient pentru a‑și proteja datele absolvenților și ale donatorilor?
daaa, iarna vine și ei nu-și schimbă parolele, lol