L’université de Princeton enquête sur une violation de données ayant affecté un système utilisé par son bureau d’Avancement. L’université a indiqué qu’un attaquant avait accédé à la base de données le 10 novembre après une tentative de phishing réussie visant un employé. L’intrus a gardé l’accès moins d’une journée avant que le compte ne soit sécurisé. Princeton a déclaré qu’aucun autre système universitaire n’avait été compromis et que la faille se limitait aux informations stockées dans l’environnement Advancement.
Selon l’université, les données exposées incluent des noms, adresses e-mail, numéros de téléphone, ainsi que des adresses résidentielles et professionnelles. La base de données contient des informations liées aux relations avec les anciens, à la collecte de fonds et aux activités d’engagement communautaire. Princeton a précisé que le système ne stocke pas les numéros de sécurité sociale, les mots de passe ni les informations de comptes financiers. L’examen est en cours et vise à identifier quels champs ont été consultés et quels individus ont été affectés.
Le groupe de personnes concernées est large car le système de développement stocke des décennies de documents. Elle comprend les anciens élèves, les personnes ayant assisté mais n’ayant pas obtenu leur diplôme, les donateurs, les enseignants et membres du personnel actuels et anciens, les parents d’étudiants, ainsi que les conjoints ou partenaires d’anciens élèves. Princeton a indiqué que cette violation affecte également les membres de la communauté au sens large qui ont participé à des événements ou maintenu le contact avec l’université via des programmes d’avancement. Des lettres de notification ont été envoyées à des personnes dont les informations auraient pu être exposées.
Bien que les données compromises n’incluent pas de catégories très sensibles, les analystes notent que ces informations peuvent toujours être utilisées pour des tentatives de phishing ou d’usurpation d’identité. Les coordonnées liées à une institution reconnue peuvent aider les attaquants à rédiger des messages convaincants qui semblent authentiques. Les spécialistes de la sécurité affirment que les informations sur la relation d’une personne avec une organisation peuvent également être utilisées pour la cibler avec des demandes frauduleuses ou pour collecter des informations personnelles supplémentaires.
L’incident met en lumière le rôle des systèmes de développement et d’engagement dans le secteur universitaire. Ces systèmes contiennent souvent de nombreuses informations personnelles car ils suivent les relations à long terme avec les anciens élèves, les donateurs et les membres de la communauté. Ils ne reçoivent pas toujours le même niveau d’investissement en sécurité que les systèmes financiers ou académiques, mais ils contiennent des données qui peuvent être précieuses pour les acteurs malveillants. Les analystes recommandent aux institutions de revoir les politiques d’accès, l’authentification multifactorielle et les pratiques de surveillance pour les systèmes extérieurs aux plateformes administratives principales.
Princeton a indiqué qu’elle collaborait avec des experts externes en cybersécurité et les forces de l’ordre pendant que l’enquête se poursuit. L’université a encouragé les personnes concernées à se méfier des communications non sollicitées faisant référence à leur affiliation à Princeton ou demandant des informations personnelles. Il conseillait également de vérifier la légitimité des e-mails inattendus avant de cliquer sur des liens ou de fournir des détails.