Το Πανεπιστήμιο της Πενσυλβάνια επιβεβαιώνει νέα παραβίαση δεδομένων μετά από hack της Oracle

​Το Πανεπιστήμιο της Πενσυλβάνια (Πεν) ανακοίνωσε μια νέα παραβίαση δεδομένων αφού οι εισβολείς έκλεψαν έγγραφα που περιείχαν προσωπικές πληροφορίες από τους διακομιστές του Oracle E-Business Suite τον Αύγουστο.

Το ιδιωτικό ερευνητικό πανεπιστήμιο Ivy League ιδρύθηκε το 1740 και έχει 5.827 μέλη ΔΕΠ και 29.109 φοιτητές, με αναλογία φοιτητών προς καθηγητές 8:1. Έχει επίσης ακαδημαϊκό λειτουργικό προϋπολογισμό 4,7 δισεκατομμυρίων δολαρίων και δωρεά 24,8 δισεκατομμυρίων δολαρίων στις 30 Ιουνίου 2025.

Το Πανεπιστήμιο της Πενσυλβάνια αποκάλυψε άλλη μια παραβίαση στα τέλη Οκτωβρίου 2025, αφού ένας χάκερ παραβίασε εσωτερικά συστήματα και έκλεψε δεδομένα για την ανάπτυξη και τις δραστηριότητες των αποφοίτων του Penn. Ο δράστης ισχυρίστηκε ότι διέφυγαν προσωπικές πληροφορίες που ανήκαν σε περίπου 1,2 εκατομμύρια φοιτητές, αποφοίτους και δωρητές.

Τις τελευταίες εβδομάδες, άλλα σχολεία του Ivy League έχουν γίνει στόχος μιας σειράς επιθέσεων φωνητικού phishing, με το Πανεπιστήμιο του Χάρβαρντ και το Πανεπιστήμιο του Πρίνστον να αναφέρουν επίσης ότι ένας χάκερ παραβίασε συστήματα που χρησιμοποιούνται για δραστηριότητες ανάπτυξης και αποφοίτων για να κλέψει τις προσωπικές πληροφορίες φοιτητών, αποφοίτων, δωρητών, προσωπικού και καθηγητών.

Παραβίαση του Penn’s Oracle EBS

Σε επιστολή ειδοποίησης παραβίασης κατατέθηκε στο γραφείο του Γενικού Εισαγγελέα του Μέιν Αυτή την εβδομάδα, ο Penn σημείωσε ότι οι εισβολείς εκμεταλλεύτηκαν μια προηγουμένως άγνωστη ευπάθεια ασφαλείας στην οικονομική εφαρμογή Oracle E-Business Suite (EBS) (γνωστή και ως ελάττωμα μηδενικής ημέρας) για να κλέψουν τα προσωπικά στοιχεία που ανήκουν σε 1.488 άτομα.

Ωστόσο, ο αριθμός των ατόμων που ενδέχεται να επηρεαστούν από το περιστατικό είναι πιθανότατα πολύ μεγαλύτερος, δεδομένου ότι το σχολείο δεν έχει ακόμη αποκαλύψει τον ακριβή αριθμό των ατόμων των οποίων τα δεδομένα παραβιάστηκαν στην επίθεση.

“Κατά τη διάρκεια της έρευνας του ίδιου του Penn, ανακαλύψαμε ότι ορισμένα δεδομένα από το Penn’s Oracle EBS είχαν ληφθεί χωρίς εξουσιοδότηση. Στη συνέχεια ξεκινήσαμε μια λεπτομερή εξέταση για να προσδιορίσουμε εάν εμπλέκονται προσωπικές πληροφορίες και να εντοπίσουμε τα επηρεαζόμενα άτομα”, είπε το πανεπιστήμιο σε όσους επηρεάστηκαν από την παραβίαση δεδομένων.

“Στις 11 Νοεμβρίου 2025, ο Penn διαπίστωσε ότι τα προσωπικά σας στοιχεία ήταν μεταξύ των πληροφοριών που ελήφθησαν από την Oracle EBS.”

Ενώ οι τύποι δεδομένων που εκτίθενται στην παραβίαση λογοκρίνονται στις αρχειοθετημένες επιστολές ειδοποίησης, ο Penn ενημέρωσε το Maine OAG ότι οι φορείς απειλών έκλεψαν αρχεία που περιείχαν τα ονόματα ή άλλα προσωπικά αναγνωριστικά των επηρεαζόμενων ατόμων.

Ένας εκπρόσωπος του Penn έδωσε μια δήλωση στο BleepingComputer σήμερα, αλλά δεν αποκάλυψε λεπτομέρειες σχετικά με τους εισβολείς, τους τύπους δεδομένων που κλάπηκαν ή τον αριθμό των ατόμων που επηρεάστηκαν από την παραβίαση δεδομένων.

“Το Πανεπιστήμιο της Πενσυλβάνια ήταν ένας από τους σχεδόν 100 ήδη αναγνωρισμένους οργανισμούς που επηρεάστηκαν ταυτόχρονα από το ευρέως αξιοποιημένο περιστατικό της Oracle E-Business Suite, το οποίο περιελάμβανε μια προηγουμένως άγνωστη ευπάθεια ασφαλείας στο σύστημα της Oracle. Ο Penn έχει εφαρμόσει τις ενημερώσεις κώδικα που εξέδωσε η Oracle για να επιλύσει την ευπάθεια του Πανεπιστημίου Oracle. Σουίτα», είπαν στο BleepingComputer.

“Είμαστε στη διαδικασία άμεσης ειδοποίησης ατόμων των οποίων τα προσωπικά στοιχεία εμπλέκονται σύμφωνα με τους ισχύοντες νόμους και κανονισμούς. Είναι σημαντικό ότι ο Penn δεν βρήκε στοιχεία που να αποδεικνύουν ότι κάποια από αυτές τις πληροφορίες έχει ή είναι πιθανό να αποκαλυφθεί δημόσια ή να χρησιμοποιηθεί κατάχρηση για δόλιες σκοπούς.”

Επιθέσεις κλοπής δεδομένων Oracle EBS του Clop

Αν και το Πανεπιστήμιο της Πενσυλβάνια δεν έχει ακόμη αποδώσει την παραβίαση, με βάση τις λεπτομέρειες που κοινοποιούνται στις επιστολές ειδοποίησης παραβίασης, το περιστατικό είναι μέρος μιας μεγαλύτερης εκστρατείας εκβιασμών στην οποία η συμμορία ransomware Clop εκμεταλλεύτηκε ένα ελάττωμα zero-day (CVE-2025-61882) για να κλέψει ευαίσθητα αρχεία από την πρώιμη πλατφόρμα του EBS20 του EBS20.

Αξίζει επίσης να σημειωθεί ότι ο Clop δεν έχει προσθέσει ακόμη το Πανεπιστήμιο της Πενσυλβάνια στον ιστότοπο διαρροής, υποδηλώνοντας ότι το πανεπιστήμιο είτε εξακολουθεί να διαπραγματεύεται με την ομάδα απειλών είτε έχει ήδη πληρώσει λύτρα.

Στην ίδια καμπάνια, ο Clop στόχευσε επίσης το Πανεπιστήμιο του Χάρβαρντ, την Ουάσιγκτον Ποστ, τη GlobalLogic, τη Logitech και τη θυγατρική της American Airlines, Envoy Air, δημοσιεύοντας τα κλεμμένα δεδομένα στον ιστότοπο διαρροής του σκοτεινού ιστού και καθιστώντας τα διαθέσιμα για λήψη μέσω Torrent.

Στο παρελθόν, η ομάδα εκβιαστών ενορχήστρωσε επίσης πολλαπλές καμπάνιες κλοπής δεδομένων που στόχευαν πελάτες Accellion FTA, GoAnywhere MFT, Cleo και MOVEit Transfer, η τελευταία από τις οποίες επηρέασε περισσότερους από 2.770 οργανισμούς.

Το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει τώρα επιβράβευση 10 εκατομμυρίων δολαρίων σε όποιον μπορεί να παράσχει πληροφορίες που συνδέουν τις επιθέσεις του Κλοπ με μια ξένη κυβέρνηση.

Ενημέρωση 02 Δεκεμβρίου, 08:13 EST: Προστέθηκε δήλωση από το Πανεπιστήμιο της Πενσυλβάνια.