La Universidad de Princeton está investigando una brecha de datos que afectó a un sistema utilizado por su oficina de Desarrollo. La universidad informó que un atacante accedió a la base de datos el 10 de noviembre tras un intento exitoso de phishing dirigido a un empleado. El intruso mantuvo el acceso menos de un día antes de que la cuenta fuera asegurada. Princeton declaró que ningún otro sistema universitario fue comprometido y que la brecha se limitó a la información almacenada en el entorno de Avance.
Según la universidad, los datos expuestos incluyen nombres, direcciones de correo electrónico, números de teléfono y direcciones de viviendas y negocios. La base de datos contiene información relacionada con las relaciones con antiguos alumnos, la recaudación de fondos y las actividades de participación comunitaria. Princeton afirmó que el sistema no almacena números de la Seguridad Social, contraseñas ni información de cuentas financieras. La revisión sigue en curso y tiene como objetivo identificar qué campos se accedieron y qué personas se vieron afectadas.
El grupo de personas afectadas es amplio porque el sistema de desarrollo almacena décadas de registros. Incluye a antiguos alumnos, personas que asistieron pero no se graduaron, donantes, profesores y personal actuales y anteriores, padres de estudiantes y cónyuges o parejas de antiguos alumnos. Princeton señaló que la brecha también afecta a miembros de la comunidad en general que han participado en eventos o mantenido contacto con la universidad a través de programas de Avance. Se han enviado cartas de notificación a personas cuya información podría haber sido expuesta.
Aunque los datos comprometidos no incluyen categorías altamente sensibles, los analistas señalan que la información aún puede utilizarse para intentos de phishing o suplantación. Los datos de contacto vinculados a una institución conocida pueden ayudar a los atacantes a redactar mensajes convincentes que parezcan legítimos. Los especialistas en seguridad afirman que la información sobre la relación de una persona con una organización también puede usarse para dirigirse a solicitudes fraudulentas o para recopilar datos personales adicionales.
El incidente pone de manifiesto el papel de los sistemas de avance y compromiso en el sector universitario. Estos sistemas suelen contener información personal extensa porque rastrean las relaciones a largo plazo con antiguos alumnos, donantes y miembros de la comunidad. Puede que no siempre reciban el mismo nivel de inversión en seguridad que los sistemas financieros o académicos, pero contienen datos que pueden ser valiosos para los actores amenazantes. Los analistas recomiendan que las instituciones revisen las políticas de acceso, la autenticación multifactor y las prácticas de monitorización para sistemas fuera de las plataformas administrativas principales.
Princeton dijo que está trabajando con expertos externos en ciberseguridad y fuerzas del orden mientras continúa la investigación. La universidad ha animado a las personas afectadas a ser cautelosas ante comunicaciones no solicitadas que hagan referencia a su afiliación con Princeton o soliciten información personal. También aconsejaba verificar la legitimidad de los correos electrónicos inesperados antes de hacer clic en enlaces o proporcionar detalles.