Hackerii au revendicat responsabilitatea pentru e-mailurile expediate de pe adrese Penn.edu săptămâna trecută și susțin că breșa ar fi fost mult mai amplă: date despre aproximativ 1, 2 milioane de persoane și documente interne ar fi fost compromise la Universitatea din Pennsylvania, Philadelphia.
Aparițiile în presă ale universităților sparte de hackeri nu sunt noi, de la breșe care au scos la iveală note clasificate până la liste de donatori folosite în campanii publicitare. Incidentul de la Penn întrunește elemente tipice ale atacurilor moderne: acces la conturi interne, exfiltrare de baze de date sensibile și utilizarea unor platforme legitime pentru trimiterea de mesaje în masă. Vineri, absolvenți și studenți de la Penn au început să primească mesaje jignitoare trimise aparent din conturi oficiale, în care instituția era insultată și făcute erau acuzații grave referitoare la practicile sale. Mesajele au plecat din connect.upenn.edu, o platformă de mailing list găzduită pe Salesforce Marketing Cloud, ceea ce a îngreunat la început evaluarea situației.
Universitatea a descris mesajele drept frauduloase și a afirmat că erau clar false, însă cel puțin un grup de hackeri a contactat publicația BleepingComputer susținând că a obținut acces mult mai adânc în sistemele interne. Conform declarațiilor lor, atacatorii ar fi preluat controlul complet asupra contului PennKey SSO al unui angajat, ceea ce le-ar fi permis să folosească VPN-ul instituției și să pătrundă în platforme precum Salesforce, Qlik, SAP și SharePoint. Ei susțin că au descărcat date despre aproximativ 1, 2 milioane de studenți, absolvenți și donatori: nume, date de naștere, adrese, telefoane, estimări ale averii, istoricul donațiilor și chiar informații demografice sensibile precum religie, rasă sau orientare sexuală.
Pentru a-și susține afirmațiile, atacatorii au furnizat capturi de ecran și mostre de date către BleepingComputer și au postat fragmente online. Ei susțin că breșa a început pe 30 octombrie și că până pe 31 octombrie descărcările erau încheiate, moment în care contul compromis a fost blocat. Totuși, chiar după ce au pierdut accesul la contul principal, atacatorii ar fi mai folosit Salesforce Marketing Cloud pentru a expedia e-mailurile jignitoare către aproximativ 700.000 de destinatari. Nu au clarificat dacă acreditările au fost sustrase printr-un infostealer, phishing sau alt mecanism, menționând doar că intruziunea a fost facilitată de vulnerabilități în securitate.
De asemenea, au pus la dispoziție un arhiv de 1, 7 GB conținând foi de calcul, materiale despre donații și alte fișiere pretins extrase din SharePoint și Box. Atacatorii au declarat că nu cer recompensă, motivând că nu cred că universitatea ar plăti și că pot valorifica datele în alte moduri. Când au fost întrebați despre motivație, au zis că nu susțin o cauză politică, ci că principalul interes a fost baza de donatori, pe care o consideră foarte valoroasă financiar.
Universitatea din Pennsylvania a comunicat doar că ancheta este în curs. Până la clarificări și eventuale notificări oficiale, persoanele din lista de donatori trebuie să rămână vigilente. Datele expuse pot fi folosite în atacuri de tip spear phishing sau pentru încercări de a obține donații false și, în general, pot facilita tentative de impersonare a reprezentanților instituției. Orice mesaj neașteptat legat de donații ar trebui verificat direct prin canale oficiale ale universității înainte de a se răspunde.
Detaliile privind 1, 2 milioane de persoane, utilizarea Salesforce Marketing Cloud pentru trimiterea a 700.000 de e-mailuri și publicarea unui arhiv de 1, 7 GB ilustrează importanța protejării conturilor cu autentificare unificată și a platformelor cloud în mediul academic. Cazuri ca acesta readuc în atenție incidente anterioare în care conturi compromise au permis accesul la date sensibile și subliniază necesitatea adoptării unor măsuri fundamentale: autentificare multifactor, monitorizare a activității conturilor și politici stricte pentru accesul la datele donatorilor. Ce măsuri concrete credeți că ar trebui să adopte instituțiile de învățământ pentru a proteja datele studenților și ale donatorilor?
Fii primul care comentează