La Universidad de Pensilvania está investigando una brecha de datos que ocurrió después de que los atacantes explotaran una vulnerabilidad en Oracle E-Business Suite. La universidad informó que identificó acceso no autorizado el 11 de noviembre y lanzó una investigación sobre el entorno administrativo afectado. Los sistemas comprometidos apoyan funciones financieras y operativas, incluyendo pagos a proveedores, reembolsos y actividad del libro mayor. Estos sistemas son independientes de las plataformas académicas y de investigación de la universidad.
Una presentación regulatoria mostró que al menos 1.488 personas tuvieron información personal expuesta. Esta cifra refleja a los residentes de un estado de EE. UU. y no representa el alcance completo del incidente. La universidad indicó que el número total de personas afectadas en su comunidad en general podría ser mayor. En esta fase, las autoridades dijeron que no hay pruebas de que los datos hayan sido publicados o utilizados en actividades fraudulentas.
La universidad informó que aplicó los parches de seguridad de Oracle, aisló el entorno comprometido e introdujo controles de monitorización adicionales. Especialistas externos en ciberseguridad y agencias de seguridad están colaborando en la investigación. La universidad está notificando a las personas afectadas y ofreciendo servicios de monitorización de crédito y protección de identidad.
Los analistas de seguridad señalaron que la brecha pone de manifiesto los riesgos sistémicos a los que se enfrentan las instituciones que dependen de software empresarial ampliamente desplegado. Oracle E-Business Suite es una plataforma comúnmente utilizada para operaciones financieras y administrativas. Los investigadores señalaron que las vulnerabilidades en grandes sistemas de terceros pueden provocar ataques coordinados o casi simultáneos en muchas organizaciones. Afirmaron que los atacantes suelen atacar sistemas financieros y administrativos en la educación superior porque estos contienen datos personales y financieros y pueden no recibir la misma inversión en seguridad que las redes de investigación.
El incidente se suma a una serie de recientes violaciones que involucran a grandes universidades. Los asesores de seguridad afirmaron que estos casos ilustran desafíos de larga duración asociados a sistemas heredados, estructuras TI fragmentadas y dependencias complejas de proveedores. Recomendaron una segmentación más estricta de los entornos administrativos, evaluaciones de seguridad más frecuentes y una mejor supervisión de los proveedores externos.
La universidad dijo que continuará revisando registros y otras pruebas técnicas para determinar el alcance total de la intrusión. Aconsejaba a los miembros de la comunidad universitaria que permanecieran alerta ante comunicaciones sospechosas que hagan referencia a información personal o financiera. Los funcionarios indicaron que se proporcionarán más actualizaciones a medida que surjan más hallazgos.