Во вторник Университет Пенсильвании подтвердил, что хакер похитил университетские данные в ходе утечки данных на прошлой неделе, в ходе которой выпускники и другие сотрудники получили подозрительные электронные письма с официальных адресов электронной почты университета.
«Нас взломали», — говорилось в сообщении хакеров. «Мы обожаем нарушать федеральные законы, такие как FERPA (все ваши данные будут раскрыты)», — добавлялось в сообщении. «Пожалуйста, перестаньте давать нам деньги».
Хотя изначально Пенн сообщил TechCrunch, что электронное письмо было «мошенническим», теперь университет подтвердил заявление хакера о том, что во время взлома были украдены данные.
«31 октября Пенн обнаружил, что определённая группа информационных систем, связанных с развитием Пенна и деятельностью выпускников, была скомпрометирована», — говорится в заявлении университета, которое было отправлено выпускникам по электронной почте и опубликовано в интернете. «Сотрудники Пенна оперативно заблокировали системы и предотвратили дальнейший несанкционированный доступ; однако это произошло не раньше, чем нашему сообществу было отправлено оскорбительное и мошенническое электронное письмо, и информация была похищена злоумышленником».
(Примечание: поскольку я выпускница и бывшая сотрудница университета, хакеры трижды отправляли мне сообщение на личную электронную почту, каждый раз с разных официальных адресов @upenn.edu, в том числе одно от старшего сотрудника Пенсильванского университета.)
В университете заявили, что взлом произошел из-за атаки с использованием социальной инженерии — хакерского приема, при котором людей обманным путем заставляют передать конфиденциальную информацию, например учетные данные для входа в систему, возможно, с помощью фишинга или телефонного звонка.
Сотрудник Пенсильванского университета, имени которого мы не называем, поскольку он не был уполномочен общаться с прессой, сообщил TechCrunch, что университет требует от студентов, сотрудников и выпускников использования многофакторной аутентификации (МФА) в своих учетных записях в качестве меры безопасности. Однако, по словам сотрудника, некоторым высокопоставленным должностным лицам были предоставлены освобождения от требований МФА.
TechCrunch спросил Пенсильванский университет об этих предполагаемых исключениях из программы MFA и о том, может ли университет предоставить данные о проценте внедрения программы MFA среди сотрудников. Представитель Пенсильванского университета Рон Озио отказался от комментариев TechCrunch, выходящих за рамки официальной страницы Пенсильванского университета, посвящённой инцидентам с данными.
В соответствии с требованиями закона, Пенсильванский университет свяжется с лицами, чьи личные данные были украдены хакерами. Университет не сообщил, когда будут отправлены эти уведомления, сколько человек будут затронуты и какая информация была украдена.
Как сообщает Daily Pennsylvanian, предполагаемый хакер Пенсильвании утверждал, что похитил документы, касающиеся спонсоров университета, квитанции о банковских транзакциях и персональные данные. Хакер заявил, что их действия были мотивированы финансовой выгодой.
Ранее в этом году хакеры взломали Колумбийский университет, получив доступ к конфиденциальной информации о примерно 870 000 студентов и абитуриентов, включая их номера социального страхования и статус гражданства.
Взломы в Пенсильвании и Колумбии, по-видимому, были вызваны недовольством политикой позитивных действий. В электронном письме, которое хакер из Пенсильвании отправил университетскому сообществу, он написал: «Мы нанимаем и принимаем идиотов, потому что любим наследие, спонсоров и неквалифицированных участников позитивных действий». Тем временем хакер из Колумбии сообщил Bloomberg, что они пытались получить доступ к данным университета, чтобы расследовать его практику позитивных действий.
Если у вас есть дополнительная информация о взломе Penn, вы можете связаться с Амандой Силберлинг по защищенному каналу Signal по адресу @amanda.100 или по электронной почте с нерабочего устройства.
Источник: techcrunch.com
