Το Πανεπιστήμιο της Πενσυλβάνια επιβεβαίωσε την Τρίτη ότι ένας χάκερ έκλεψε πανεπιστημιακά δεδομένα ως μέρος της παραβίασης δεδομένων της περασμένης εβδομάδας, κατά την οποία οι απόφοιτοι και άλλοι συνεργάτες έλαβαν ύποπτα email από επίσημες διευθύνσεις ηλεκτρονικού ταχυδρομείου πανεπιστημίου.
«Μας χάκαραν», έγραφε το μήνυμα των χάκερ. «Μας αρέσει να παραβιάζουμε ομοσπονδιακούς νόμους όπως η FERPA (όλα τα δεδομένα σας θα διαρρεύσουν)», προστίθεται στο μήνυμα. «Παρακαλώ σταματήστε να μας δίνετε χρήματα».
Ενώ ο Πεν είπε αρχικά στο TechCrunch ότι το email ήταν «δόλιο», το πανεπιστήμιο έχει πλέον επιβεβαιώσει τον ισχυρισμό του χάκερ ότι τα δεδομένα ελήφθησαν κατά τη διάρκεια της παραβίασης.
«Στις 31 Οκτωβρίου, ο Πεν ανακάλυψε ότι μια επιλεγμένη ομάδα συστημάτων πληροφοριών που σχετίζονται με την ανάπτυξη και τις δραστηριότητες των αποφοίτων του Πεν είχε παραβιαστεί», έγραψε το πανεπιστήμιο σε μια δήλωση, η οποία εστάλη με email στους αποφοίτους και κοινοποιήθηκε στο διαδίκτυο. “Το προσωπικό του Penn κλείδωσε γρήγορα τα συστήματα και απέτρεψε περαιτέρω μη εξουσιοδοτημένη πρόσβαση, ωστόσο, όχι πριν σταλεί ένα προσβλητικό και δόλιο email στην κοινότητά μας και οι πληροφορίες ελήφθησαν από τον εισβολέα.”
(Αποκάλυψη: Ως απόφοιτος και πρώην υπάλληλος του πανεπιστημίου, οι χάκερ έστειλαν το μήνυμα στο προσωπικό μου email τρεις φορές, καθεμία προερχόμενη από διαφορετικό αξιωματούχο @upenn.edu διευθύνσεις email, συμπεριλαμβανομένης μιας από ανώτερο στέλεχος του Penn.)
Το πανεπιστήμιο είπε ότι η παραβίαση συνέβη λόγω επίθεσης κοινωνικής μηχανικής, μιας τεχνικής hacking κατά την οποία άτομα εξαπατούνται για να παραδώσουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια σύνδεσης, ίσως μέσω phishing ή τηλεφωνικής κλήσης.
Ένας υπάλληλος της Penn, τον οποίο δεν κατονομάζουμε καθώς δεν ήταν εξουσιοδοτημένος να μιλήσει στον Τύπο, είπε στο TechCrunch ότι το πανεπιστήμιο απαιτεί από φοιτητές, προσωπικό και αποφοίτους να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) στους λογαριασμούς τους ως μέτρο ασφαλείας. Ωστόσο, ο υπάλληλος είπε ότι σε ορισμένους υψηλόβαθμους αξιωματούχους χορηγήθηκαν εξαιρέσεις από τις απαιτήσεις ΜΧΣ.
Το TechCrunch ρώτησε τον Penn σχετικά με αυτές τις υποτιθέμενες εξαιρέσεις MFA και εάν το πανεπιστήμιο μπορούσε να παράσχει ένα ποσοστό υιοθέτησης MFA μεταξύ του προσωπικού. Ο εκπρόσωπος της Penn, Ron Ozio, αρνήθηκε να σχολιάσει στο TechCrunch πέρα από το Penn’s επίσημη σελίδα περιστατικών δεδομένων.
Όπως απαιτείται από τη νομοθεσία, ο Penn είπε ότι θα επικοινωνήσει με άτομα των οποίων τα προσωπικά στοιχεία είχαν πρόσβαση από χάκερ. Το πανεπιστήμιο δεν έχει πει πότε θα γίνουν αυτές οι ειδοποιήσεις, πόσα άτομα επηρεάζονται ή σε ποιες πληροφορίες έγινε πρόσβαση.
Η Daily Pennsylvanian αναφέρει ότι ο φερόμενος χάκερ Penn ισχυρίστηκε ότι είχε λάβει έγγραφα σχετικά με δωρητές πανεπιστημίου, αποδείξεις τραπεζικών συναλλαγών και στοιχεία προσωπικής ταυτοποίησης. Ο χάκερ είπε ότι είχαν οικονομικά κίνητρα,
Νωρίτερα αυτό το έτος, χάκερ παραβίασαν το Πανεπιστήμιο Κολούμπια, αποκτώντας πρόσβαση σε ευαίσθητες πληροφορίες για τη γύρω περιοχή 870.000 φοιτητές και υποψήφιοισυμπεριλαμβανομένων των αριθμών κοινωνικής ασφάλισης και του καθεστώτος υπηκοότητας.
Και οι αμφότερες οι εισβολές Penn και Columbia φαίνεται να έχουν ως κίνητρο τη δυσαρέσκεια με τις πολιτικές θετικής δράσης. Στο email που έστειλε ο χάκερ του Penn στην πανεπιστημιακή κοινότητα, ο χάκερ έγραψε: «Προσλαμβάνουμε και παραδεχόμαστε ηλίθιους επειδή αγαπάμε τις κληρονομιές, τους δωρητές και τις ακατάλληλες θετικές ενέργειες». Εν τω μεταξύ, ο χάκερ της Κολούμπια είπε στο Bloomberg ότι προσπάθησαν να έχουν πρόσβαση σε δεδομένα από το πανεπιστήμιο για να διερευνήσουν τις πρακτικές θετικής δράσης του.
Εάν έχετε περισσότερες πληροφορίες σχετικά με το hack Penn, μπορείτε να επικοινωνήσετε με την Amanda Silberling με ασφάλεια στο Signal στο @amanda.100 ή μέσω email, από μια συσκευή που δεν λειτουργεί.
Via: techcrunch.com
