L’Université de Pennsylvanie enquête sur une violation de données survenue après que des attaquants ont exploité une vulnérabilité dans Oracle E-Business Suite. L’université a déclaré avoir identifié un accès non autorisé le 11 novembre et lancé une enquête sur l’environnement administratif concerné. Les systèmes compromis soutiennent les fonctions financières et opérationnelles, y compris les paiements des fournisseurs, les remboursements et l’activité du registre. Ces systèmes sont distincts des plateformes académiques et de recherche de l’université.
Un dépôt réglementaire a montré qu’au moins 1 488 personnes avaient des informations personnelles exposées. Ce chiffre reflète les résidents d’un État américain et ne représente pas l’ampleur complète de l’incident. L’université a indiqué que le nombre total de personnes concernées dans sa communauté élargie pourrait être plus élevé. À ce stade, les responsables ont indiqué qu’il n’y avait aucune preuve que les données aient été publiées ou utilisées dans des activités frauduleuses.
L’université a rapporté avoir appliqué les correctifs de sécurité d’Oracle, isolé l’environnement compromis et introduit des contrôles de surveillance supplémentaires. Des spécialistes externes de la cybersécurité et des agences de maintien de l’ordre assistent à l’enquête. L’université informe les personnes concernées et propose des services de surveillance du crédit et de protection de l’identité.
Les analystes de la sécurité ont indiqué que la faille met en lumière les risques systémiques auxquels sont confrontées les institutions qui dépendent de logiciels d’entreprise largement déployés. Oracle E-Business Suite est une plateforme couramment utilisée pour les opérations financières et administratives. Les chercheurs ont noté que les vulnérabilités dans les grands systèmes tiers peuvent entraîner des attaques coordonnées ou quasi simultanées au sein de nombreuses organisations. Ils ont indiqué que les attaquants ciblent souvent les systèmes financiers et administratifs dans l’enseignement supérieur car ces systèmes contiennent des données personnelles et financières et peuvent ne pas recevoir le même investissement en matière de sécurité que les réseaux de recherche.
L’incident s’ajoute à une série de violations récentes impliquant de grandes universités. Les conseillers en sécurité ont indiqué que ces cas illustrent les défis de longue date associés aux systèmes hérités, aux structures informatiques fragmentées et aux dépendances complexes des fournisseurs. Ils ont recommandé une segmentation plus stricte des environnements administratifs, des évaluations de sécurité plus fréquentes et une meilleure surveillance des fournisseurs tiers.
L’université a indiqué qu’elle continuerait à examiner les journaux et autres preuves techniques afin de déterminer l’ampleur complète de l’intrusion. Il conseillait aux membres de la communauté universitaire de rester vigilants face à toute communication suspecte faisant référence à des informations personnelles ou financières. Les responsables ont indiqué que d’autres mises à jour seraient fournies au fur et à mesure que d’autres résultats émergeraient.