A Universidade da Pensilvânia confirmou na terça-feira que um hacker roubou dados da universidade como parte da violação de dados da semana passada , durante a qual ex-alunos e outros afiliados receberam e-mails suspeitos de endereços de e-mail oficiais da universidade.
“Fomos hackeados”, dizia a mensagem dos hackers. “Adoramos infringir leis federais como a FERPA (todos os seus dados serão vazados)”, acrescentava a mensagem. “Por favor, parem de nos dar dinheiro.”
Embora a Universidade da Pensilvânia tenha inicialmente dito que o e-mail era “fraudulento”, a instituição agora confirmou a alegação do hacker de que dados foram roubados durante a invasão.
“Em 31 de outubro, a Universidade da Pensilvânia descobriu que um grupo seleto de sistemas de informação relacionados ao desenvolvimento da instituição e às atividades de ex-alunos havia sido comprometido”, escreveu a universidade em um comunicado, enviado por e-mail aos ex-alunos e compartilhado online . “A equipe da Universidade da Pensilvânia rapidamente bloqueou os sistemas e impediu novos acessos não autorizados; no entanto, não antes que um e-mail ofensivo e fraudulento fosse enviado à nossa comunidade e informações fossem obtidas pelo invasor.”
A universidade afirmou que a violação ocorreu devido a um ataque de engenharia social , uma técnica de hacking na qual indivíduos são enganados para fornecer informações confidenciais, como credenciais de login, possivelmente por meio de phishing ou uma ligação telefônica.
Um funcionário da Universidade da Pensilvânia, cujo nome não divulgaremos por não estar autorizado a falar com a imprensa, disse ao TechCrunch que a universidade exige que alunos, funcionários e ex-alunos usem autenticação multifatorial (MFA) em suas contas como medida de segurança; no entanto, o funcionário afirmou que alguns altos funcionários receberam isenções dos requisitos de MFA.
A Universidade da Pensilvânia foi questionada sobre essas supostas exceções de autenticação multifator (MFA) e se poderia fornecer a porcentagem de adoção da MFA entre os funcionários. O porta-voz da Penn, Ron Ozio, recusou-se a comentar com o TechCrunch além da página oficial da Penn sobre incidentes de dados .
Conforme exigido por lei, a Universidade da Pensilvânia informou que entrará em contato com as pessoas cujas informações pessoais foram acessadas por hackers. A universidade não divulgou quando essas notificações ocorrerão, quantas pessoas foram afetadas ou quais informações foram acessadas.
O jornal The Daily Pennsylvanian relata que o suposto hacker da Universidade da Pensilvânia alegou ter obtido documentos relacionados a doadores da universidade, comprovantes de transações bancárias e informações pessoais identificáveis. O hacker afirmou ter sido motivado por interesses financeiros.
No início deste ano, hackers invadiram a Universidade Columbia, acessando informações confidenciais de cerca de 870.000 alunos e candidatos , incluindo seus números de Seguro Social e situação de cidadania.
Tanto o ataque à Universidade da Pensilvânia quanto o ataque à Universidade Columbia parecem motivados pela insatisfação com as políticas de ação afirmativa. No e-mail enviado à comunidade universitária, o hacker da Universidade da Pensilvânia escreveu: “Contratamos e admitimos idiotas porque amamos filhos de ex-alunos, doadores e admissões sem qualificação por meio de ações afirmativas”. Enquanto isso, o hacker da Universidade Columbia disse à Bloomberg que buscava acessar dados da universidade para investigar suas práticas de ação afirmativa.
fonte: TECHCRUNCH
