A Universidade da Pensilvânia confirmou na terça-feira que um hacker roubou dados da universidade como parte da violação de dados da semana passada, durante a qual ex-alunos e outros afiliados receberam e-mails suspeitos de endereços de e-mail oficiais da universidade.
“Fomos hackeados”, dizia a mensagem dos hackers. “Adoramos violar leis federais como a FERPA (todos os seus dados serão vazados)”, acrescentou a mensagem. “Por favor, pare de nos dar dinheiro.”
Embora Penn inicialmente tenha dito ao TechCrunch que o e-mail era “fraudulento”, a universidade agora confirmou a alegação do hacker de que os dados foram obtidos durante a violação.
“Em 31 de outubro, a Penn descobriu que um seleto grupo de sistemas de informação relacionados ao desenvolvimento da Penn e às atividades dos ex-alunos havia sido comprometido”, escreveu a universidade em um comunicado, que foi enviado por e-mail aos ex-alunos e compartilhado on-line. “A equipe de Penn bloqueou rapidamente os sistemas e impediu novos acessos não autorizados; no entanto, não antes que um e-mail ofensivo e fraudulento fosse enviado à nossa comunidade e as informações fossem roubadas pelo invasor.”
(Divulgação: como ex-aluna e ex-funcionária da universidade, os hackers enviaram a mensagem para meu e-mail pessoal três vezes, cada uma vinda de funcionários diferentes @upenn.edu endereços de e-mail, incluindo um de um membro sênior da equipe da Penn.)
A universidade disse que a violação ocorreu devido a um ataque de engenharia social, uma técnica de hacking em que indivíduos são induzidos a fornecer informações confidenciais, como credenciais de login, talvez por meio de phishing ou telefonema.
Um funcionário da Penn, cujo nome não foi identificado porque não estava autorizado a falar com a imprensa, disse ao TechCrunch que a universidade exige que alunos, funcionários e ex-alunos usem autenticação multifator (MFA) em suas contas como medida de segurança; no entanto, o funcionário disse que alguns funcionários de alto escalão obtiveram isenções aos requisitos do MFA.
O TechCrunch perguntou a Penn sobre essas supostas exceções de MFA e se a universidade poderia fornecer uma porcentagem de adoção de MFA entre os funcionários. O porta-voz da Penn, Ron Ozio, recusou-se a comentar o TechCrunch além do Penn’s página oficial de incidente de dados.
Conforme exigido por lei, a Penn disse que entrará em contato com indivíduos cujas informações pessoais foram acessadas por hackers. A universidade não informou quando essas notificações ocorrerão, quantas pessoas serão afetadas ou quais informações foram acessadas.
O diário da Pensilvânia relata que o suposto hacker da Penn alegou ter levado documentos relacionados a doadores universitários, recibos de transações bancárias e informações de identificação pessoal. O hacker disse que eles estavam motivados financeiramente.
No início deste ano, hackers invadiram a Universidade de Columbia, acessando informações confidenciais sobre cerca de 870.000 estudantes e candidatosincluindo seus números de Seguro Social e status de cidadania.
Tanto os hacks da Penn quanto os da Columbia parecem motivados pelo descontentamento com as políticas de ação afirmativa. No e-mail que o hacker da Penn enviou à comunidade universitária, o hacker escreveu: “Contratamos e admitimos idiotas porque amamos legados, doadores e ações afirmativas não qualificadas admitem”. Enquanto isso, o hacker da Columbia disse à Bloomberg que buscaram acessar dados da universidade para investigar suas práticas de ações afirmativas.
Se você tiver mais informações sobre o hack da Penn, pode entrar em contato com Amanda Silberling com segurança no Signal em @amanda.100, ou por e-mail, de um dispositivo que não seja de trabalho.
