Ένας χάκερ ανέλαβε την ευθύνη για το περιστατικό email της περασμένης εβδομάδας στο Πανεπιστήμιο της Πενσυλβάνια «Έχουμε hacked», λέγοντας ότι ήταν μια πολύ πιο εκτεταμένη παραβίαση που αποκάλυψε δεδομένα για 1,2 εκατομμύρια δωρητές και εσωτερικά έγγραφα.
Την Παρασκευή, απόφοιτοι του Πανεπιστημίου της Πενσυλβάνια και φοιτητές άρχισαν να λαμβάνουν πολλά προσβλητικά email από τις διευθύνσεις του Penn.edu που ισχυρίζονταν ότι το πανεπιστήμιο είχε παραβιαστεί και είχε κλαπεί δεδομένα.
“Το Πανεπιστήμιο της Πενσυλβάνια είναι ένα ίδρυμα ελιτίστων σκύλων γεμάτο με καθυστερήσεις. Έχουμε τρομερές πρακτικές ασφαλείας και είμαστε εντελώς αναξιοκρατικοί”, αναφέρει το email που εστάλη σε αποφοίτους και φοιτητές του Πεν.
“Προσλαμβάνουμε και παραδεχόμαστε ηλίθιους επειδή αγαπάμε τις κληρονομιές, τους δωρητές και τα ακατάλληλα θετικά μέτρα. Μας αρέσει να παραβιάζουμε ομοσπονδιακούς νόμους όπως η FERPA (όλα τα δεδομένα σας θα διαρρεύσουν) και τις αποφάσεις του Ανωτάτου Δικαστηρίου όπως το SFFA.”
Η BleepingComputer επιβεβαίωσε ότι τα email προέρχονται από το connect.upenn.edu, μια πλατφόρμα λιστών αλληλογραφίας Penn που φιλοξενείται στο Salesforce Marketing Cloud. Το πανεπιστήμιο υποβάθμισε το περιστατικό, περιγράφοντας τα μηνύματα ως «δόλια email» που ήταν «προφανώς πλαστά».
Ωστόσο, ο παράγοντας απειλής πίσω από την επίθεση επικοινώνησε με την BleepingComputer, ισχυριζόμενος ότι η εισβολή ήταν πολύ ευρύτερη και ότι είχαν αποκτήσει πρόσβαση σε πολλά πανεπιστημιακά συστήματα.
Ο χάκερ είπε ότι η ομάδα τους “απέκτησε πλήρη πρόσβαση” στον λογαριασμό PennKey SSO ενός υπαλλήλου, επιτρέποντας πρόσβαση στο VPN της Penn, τα δεδομένα Salesforce, την πλατφόρμα ανάλυσης Qlik, το σύστημα επιχειρηματικής ευφυΐας SAP και τα αρχεία SharePoint.
Είπαν ότι διεύρυσαν δεδομένα για περίπου 1,2 εκατομμύρια φοιτητές, αποφοίτους και δωρητές, συμπεριλαμβανομένων ονομάτων, ημερομηνιών γέννησης, διευθύνσεων, αριθμών τηλεφώνου, εκτιμώμενης καθαρής αξίας, ιστορικού δωρεών και δημογραφικών στοιχείων όπως θρησκεία, φυλή και σεξουαλικό προσανατολισμό.
Οι ηθοποιοί της απειλής μοιράστηκαν στιγμιότυπα οθόνης και δείγματα δεδομένων με το BleepingComputer και τα δημοσίευσαν στο διαδίκτυο για να αποδείξουν ότι είχαν πράγματι πρόσβαση σε αυτά τα συστήματα και είχαν κλέψει δεδομένα από τον Penn.
Οι εισβολείς είπαν στο BleepingComputer ότι παραβίασαν τα συστήματα του Penn στις 30 Οκτωβρίου και ολοκλήρωσαν τις λήψεις δεδομένων έως τις 31 Οκτωβρίου, όταν ο παραβιασμένος λογαριασμός υπαλλήλου κλειδώθηκε και χάθηκε η πρόσβαση.
Αφού ανακάλυψε ότι η πρόσβασή τους είχε ανακληθεί, ο χάκερ είπε ότι είχαν ακόμα πρόσβαση στο Salesforce Marketing Cloud και το χρησιμοποίησαν για να στείλουν το προσβλητικό μαζικό email σε περίπου 700.000 παραλήπτες.
Όταν ρωτήθηκε εάν τα διαπιστευτήρια κλάπηκαν μέσω infotealer ή phishing, ο χάκερ αρνήθηκε να δώσει περισσότερες λεπτομέρειες, λέγοντας ότι η εισβολή ήταν απλή και προκλήθηκε από κενά ασφαλείας του Penn.
Ο χάκερ δημοσίευσε έκτοτε ένα αρχείο 1,7 GB που περιέχει υπολογιστικά φύλλα, υλικό δωρεών και άλλα αρχεία που φέρεται να έχουν ληφθεί από τα συστήματα SharePoint και Box του Penn.
Ο δράστης είπε στην BleepingComputer ότι δεν εκβίαζαν το πανεπιστήμιο, λέγοντας: “Δεν πιστεύουμε ότι θα πλήρωναν και μπορούμε να αντλήσουμε αρκετή αξία από τα δεδομένα”.
Όταν ρωτήθηκαν για τα κίνητρά τους, οι χάκερ είπαν ότι η επίθεση δεν ήταν πολιτική, αλλά είχε ως στόχο την απόκτηση της βάσης δεδομένων δωρητών του Penn.
«Αν και δεν έχουμε πραγματικά πολιτικά κίνητρα, δεν τρέφουμε αγάπη για αυτά τα ιδρύματα που εξυπηρετούν ανήλικα μωρά», είπαν οι χάκερ στο BleepingComputer.
«Ο κύριος στόχος ήταν η τεράστια, υπέροχα πλούσια βάση δεδομένων δωρητών».
Η βάση δεδομένων των δωρητών δεν έχει ακόμη διαρρεύσει, αν και οι παράγοντες της απειλής ισχυρίζονται ότι μπορεί να την κυκλοφορήσουν σε έναν ή δύο μήνες.
Όταν ήρθε σε επαφή με αυτούς τους ισχυρισμούς, το Πανεπιστήμιο της Πενσυλβάνια είπε στο BleepingComputer, «Συνεχίζουμε να ερευνούμε».
Τι πρέπει να κάνουν οι δωρητές Penn
Με εκτεθειμένο πλέον μεγάλο όγκο δεδομένων δωρητών, οι δωρητές Penn θα πρέπει να παραμείνουν σε επαγρύπνηση έναντι στοχευμένων προσπαθειών ηλεκτρονικού ψαρέματος ή κοινωνικής μηχανικής.
Οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν τις κλεμμένες πληροφορίες για να μιμηθούν το πανεπιστήμιο, να ζητήσουν δόλιες δωρεές ή να αποκτήσουν πρόσβαση σε διαπιστευτήρια δωρητών για να παραβιάσουν τους διαδικτυακούς τους λογαριασμούς.
Οι παραλήπτες θα πρέπει να αντιμετωπίζουν απροσδόκητα μηνύματα σχετικά με δωρεές με καχυποψία και να επαληθεύσουν τη νομιμότητά τους απευθείας με τον Penn πριν απαντήσουν.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
