La Princeton University sta indagando su una violazione dei dati che ha colpito un sistema utilizzato dal suo ufficio per lo sviluppo. L’università ha dichiarato che un attaccante ha ottenuto l’accesso al database il 10 novembre dopo un tentativo di phishing riuscito che ha preso di mira un dipendente. L’intruso ha mantenuto l’accesso per meno di un giorno prima che l’account fosse messo in sicurezza. Princeton ha dichiarato che nessun altro sistema universitario è stato compromesso e che la violazione è stata limitata alle informazioni memorizzate nell’ambiente Advancement.
Secondo l’università, i dati esposti includono nomi, indirizzi email, numeri di telefono e indirizzi di casa e azienda. Il database contiene informazioni relative alle relazioni con gli ex studenti, alla raccolta fondi e alle attività di coinvolgimento della comunità. Princeton ha detto che il sistema non memorizza numeri di previdenza sociale, password o informazioni sui conti finanziari. La revisione è in corso e mira a identificare quali campi sono stati consultati e quali individui sono stati coinvolti.
Il gruppo di persone interessate è ampio perché il sistema di sviluppo conserva decenni di registri. Include ex studenti, persone che hanno partecipato ma non si sono diplomate, donatori, docenti e personale attuali ed ex, genitori di studenti e coniugi o partner di ex studenti. Princeton ha affermato che la violazione colpisce anche i membri della comunità più ampia che hanno partecipato a eventi o mantenuto i contatti con l’università tramite programmi di Advancement. Lettere di notifica sono state inviate a persone le cui informazioni potrebbero essere state esposte.
Sebbene i dati compromessi, non includano categorie altamente sensibili, gli analisti osservano che le informazioni possono comunque essere utilizzate per tentativi di phishing o impersonificazione. I contatti collegati a un’istituzione nota possono aiutare gli aggressori a creare messaggi convincenti che appaiono legittimi. Gli specialisti della sicurezza affermano che le informazioni sul rapporto di una persona con un’organizzazione possono essere utilizzate anche per prenderla di mira con richieste fraudolente o per raccogliere ulteriori dati personali.
L’incidente mette in evidenza il ruolo dei sistemi di avanzamento e coinvolgimento nel settore universitario. Questi sistemi spesso contengono informazioni personali estese perché tracciano le relazioni a lungo termine con ex studenti, donatori e membri della comunità. Potrebbero non ricevere sempre lo stesso livello di investimento in sicurezza dei sistemi finanziari o accademici, tuttavia contengono dati che possono essere preziosi per gli attori minacci. Gli analisti raccomandano che le istituzioni riesaminino le politiche di accesso, l’autenticazione multifattore e le pratiche di monitoraggio per sistemi esterni alle piattaforme amministrative centrali.
Princeton ha dichiarato di collaborare con esperti esterni di cybersecurity e forze dell’ordine mentre l’indagine prosegue. L’università ha incoraggiato le persone coinvolte a essere caute riguardo a comunicazioni non richieste che facciano riferimento alla loro affiliazione con Princeton o richiedano informazioni personali. Consigliava inoltre di verificare la legittimità delle email impreviste prima di cliccare su link o fornire dettagli.