Die University of Pennsylvania untersucht eine Datenpanne, die auftrat, nachdem Angreifer eine Schwachstelle in der Oracle E-Business Suite ausgenutzt hatten. Die Universität teilte mit, dass sie am 11. November unbefugten Zugang festgestellt und eine Untersuchung des betroffenen Verwaltungsumfelds eingeleitet hat. Die kompromittierten Systeme unterstützen finanzielle und operative Funktionen, einschließlich Lieferantenzahlungen, Erstattungen und Kassenbuchaktivitäten. Diese Systeme sind getrennt von den akademischen und Forschungsplattformen der Universität.
Eine Zulassungsmeldung zeigte, dass mindestens 1.488 Personen persönliche Informationen offengelegt hatten. Diese Zahl spiegelt die Einwohner eines US-Bundesstaates wider und stellt nicht das volle Ausmaß des Vorfalls dar. Die Universität erklärte, dass die Gesamtzahl der betroffenen Personen in ihrer weiteren Gemeinschaft höher sein könnte. In diesem Stadium sagten die Beamten, es gebe keine Beweise dafür, dass die Daten veröffentlicht oder für betrügerische Aktivitäten verwendet wurden.
Die Universität berichtete, dass sie Oracles Sicherheitspatches angewendet, die kompromittierte Umgebung isoliert und zusätzliche Überwachungskontrollen eingeführt hat. Externe Cybersicherheitsspezialisten und Strafverfolgungsbehörden unterstützen die Untersuchung. Die Universität informiert betroffene Personen und bietet Dienstleistungen zur Kreditüberwachung und Identitätsschutz an.
Sicherheitsanalysten sagten, die Sicherheitslücke verdeutliche systemische Risiken, denen Institutionen ausgesetzt sind, die auf weit verbreitete Unternehmenssoftware angewiesen sind. Die Oracle E-Business Suite ist eine häufig genutzte Plattform für Finanz- und Verwaltungsabläufe. Forscher stellten fest, dass Schwachstellen in großen Drittanbietersystemen zu koordinierten oder nahezu gleichzeitigen Angriffen in vielen Organisationen führen können. Sie sagten, dass Angreifer oft Finanz- und Verwaltungssysteme im Hochschulbereich ins Visier nehmen, weil diese Systeme persönliche und finanzielle Daten enthalten und möglicherweise nicht die gleiche Sicherheitsinvestition wie Forschungsnetzwerke erhalten.
Der Vorfall ergänzt eine Reihe jüngster Verstöße gegen große Universitäten. Sicherheitsberater sagten, diese Fälle verdeutlichen langjährige Herausforderungen im Zusammenhang mit Altsystemen, fragmentierten IT-Strukturen und komplexen Anbieterabhängigkeiten. Sie empfahlen eine stärkere Segmentierung administrativer Umgebungen, häufigere Sicherheitsbewertungen und eine bessere Aufsicht über Drittanbieter.
Die Universität erklärte, sie werde weiterhin Protokolle und andere technische Beweise überprüfen, um das volle Ausmaß des Eingriffs zu ermitteln. Es riet den Mitgliedern der Universitätsgemeinschaft, auf verdächtige Kommunikation mit Bezug auf persönliche oder finanzielle Informationen wachsam zu bleiben. Beamte sagten, weitere Updates würden bereitgestellt, sobald weitere Erkenntnisse vorliegen.