L’Università di Sydney ha confermato un attacco informatico che ha rivelato informazioni personali di circa 27.000 persone archiviate in una libreria di codici storica utilizzata per test e sviluppo. L’università ha dichiarato che gli hacker hanno accedito a file archiviati contenenti nomi, date di nascita, numeri di telefono, indirizzi di casa, dettagli lavorativi e altre informazioni personali di personale attuale ed ex, ex studenti e un piccolo numero di donatori. La violazione è stata individuata dopo che l’università ha rilevato attività sospette nel repository di codice online e ha preso misure immediate per bloccare l’accesso e rimuovere i file interessati.
Nicole Gower, vicepresidente delle operazioni, ha informato lo staff in un messaggio interno che i dati compromessi includevano dati per circa 10.000 dipendenti attuali e 12.000 ex dipendenti e affiliati, circa 5.000 ex studenti e sei donatori. L’università ha dichiarato di non essere a conoscenza di alcun uso improprio o pubblicazione dei dati e sta conducendo un monitoraggio approfondito per valutare se qualcuna delle informazioni fosse apparsa su sistemi esterni. Ha inoltre affermato che la notifica a tutti gli individui interessati è in corso e si prevede che proseguirà anche nel mese successivo.
L’Università di Sydney ha dichiarato di aver eliminato i dati esposti dalla libreria di codici e di aver segnalato l’incidente alle autorità competenti, inclusi i regolatori statali e federali della privacy e gli enti di cybersicurezza. Ha incoraggiato le persone coinvolte a adottare misure precauzionali per proteggere le proprie informazioni personali. Una dichiarazione dell’università ha riconosciuto che la violazione potrebbe causare preoccupazione e ha offerto servizi di supporto a chi ne è coinvolto.
L’attacco ha preso di mira documenti storici che non facevano parte dei sistemi amministrativi attivi e che erano stati utilizzati principalmente per scopi di test, secondo la comunicazione dell’università al personale. L’istituzione ha dichiarato di aver isolato il sistema vulnerabile non appena è stato avvisato di attività insolite e che ora sta lavorando con i partner della cybersecurity per rafforzare il monitoraggio e prevenire ulteriori incidenti.
La conferma della violazione da parte dell’Università di Sydney distingue questo episodio da errori di elaborazione non correlati che si sono verificati nello stesso periodo, incluso un errore di distribuzione email in cui alcuni studenti hanno ricevuto risultati semestrali errati in cui alcuni studenti hanno ricevuto risultati semestrali erratati. L’università ha chiarito che la questione dei risultati dell’esame non riguardava i dati personali di altri studenti ed era un problema operativo separato.
I campus universitari e le istituzioni di ricerca in Australia e a livello internazionale sono stati prese di mira in precedenti attacchi informatici a causa del volume e della sensibilità dei dati che conservano e condividono. La violazione dell’Università di Sydney è tra gli esempi più recenti di istituzioni educative che hanno affrontato vulnerabilità in sistemi legacy e archivi.