L’Université de Sydney a confirmé une cyberattaque qui a révélé des informations personnelles d’environ 27 000 personnes stockées dans une bibliothèque de codes historique utilisée pour les tests et le développement. L’université a indiqué que des hackers ont accédé à des fichiers archivés contenant des noms, dates de naissance, numéros de téléphone, adresses domiciliaires, informations professionnelles et autres informations personnelles du personnel actuel et ancien, des anciens élèves et d’un petit nombre de donateurs. La faille a été identifiée après que l’université a détecté une activité suspecte dans le dépôt de code en ligne et a pris des mesures immédiates pour bloquer l’accès et supprimer les fichiers concernés.
Nicole Gower, vice-présidente des opérations, a informé le personnel dans un message interne que les données compromises comprenaient des dossiers pour environ 10 000 employés actuels et 12 000 anciens et affiliés, environ 5 000 anciens élèves et six donateurs. L’université a indiqué qu’elle n’était pas au courant d’une quelconque mauvaise utilisation ou publication des données et menait une surveillance approfondie pour vérifier si certaines informations étaient apparues sur des systèmes externes. Il a également indiqué que la notification à toutes les personnes concernées est en cours et devrait se poursuivre au mois suivant.
L’Université de Sydney a déclaré avoir effacé les données exposées de la bibliothèque de codes et signalé l’incident aux autorités compétentes, y compris les régulateurs de la vie privée et les organismes de cybersécurité au niveau des États et fédéraux. Elle a encouragé les personnes concernées à prendre des mesures de précaution pour protéger leurs informations personnelles. Un communiqué de l’université a reconnu que la violation pouvait susciter des inquiétudes et a proposé des services de soutien aux personnes concernées.
L’attaque a ciblé des archives historiques qui ne faisaient pas partie des systèmes administratifs en ligne et étaient principalement utilisées à des fins de test, selon la communication de l’université au personnel. L’institution a déclaré avoir isolé le système vulnérable dès qu’il a été alerté d’une activité inhabituelle, et qu’elle travaille désormais avec des partenaires en cybersécurité pour renforcer la surveillance et prévenir de nouveaux incidents.
La confirmation de la violation par l’Université de Sydney distingue cet incident des erreurs de traitement non liées survenues au même moment, notamment une erreur de distribution d’e-mails dans laquelle certains étudiants ont reçu des résultats semestriels incorrects. L’université a précisé que la question des résultats d’examen ne concernait pas les données personnelles d’autres étudiants et constituait un problème opérationnel distinct.
Les campus universitaires et les institutions de recherche en Australie et à l’international ont été ciblés lors de cyberattaques précédentes en raison du volume et de la sensibilité des données qu’ils stockent et partagent. La faille de l’Université de Sydney fait partie des exemples les plus récents d’établissements d’enseignement ayant traité des vulnérabilités dans les systèmes hérités et les dépôts archivés.