L’Università della Pennsylvania sta indagando su una violazione dei dati avvenuta dopo che gli attaccanti hanno sfruttato una vulnerabilità in Oracle E-Business Suite. L’università ha dichiarato di aver identificato l’accesso non autorizzato l’11 novembre e di aver avviato un’indagine sull’ambiente amministrativo interessato. I sistemi compromessi supportano funzioni finanziarie e operative, inclusi pagamenti ai fornitori, rimborsi e attività di registro contabile. Questi sistemi sono separati dalle piattaforme accademiche e di ricerca dell’università.
Un documento normativo ha mostrato che almeno 1.488 individui hanno avuto informazioni personali esposte. Questa cifra riflette i residenti di uno stato degli Stati Uniti e non rappresenta l’intera portata dell’incidente. L’università ha affermato che il numero totale di persone colpite nella sua comunità più ampia potrebbe essere più alto. A questo punto, i funzionari hanno dichiarato che non ci sono prove che i dati siano stati pubblicati o utilizzati in attività fraudolente.
L’università ha riferito di aver applicato le patch di sicurezza di Oracle, isolato l’ambiente compromesso e introdotto controlli di monitoraggio aggiuntivi. Specialisti esterni in cybersecurity e agenzie di polizia stanno assistendo nell’indagine. L’università sta notificando le persone interessate e offre servizi di monitoraggio del credito e protezione dell’identità.
Gli analisti di sicurezza hanno affermato che la violazione evidenzia i rischi sistemici affrontati dalle istituzioni che si affidano a software aziendale ampiamente distribuiti. Oracle E-Business Suite è una piattaforma comunemente utilizzata per operazioni finanziarie e amministrative. I ricercatori hanno osservato che le vulnerabilità nei grandi sistemi di terze parti possono portare ad attacchi coordinati o quasi simultanei in molte organizzazioni. Hanno detto che gli attaccanti spesso prendono di mira i sistemi finanziari e amministrativi nell’istruzione superiore perché questi contengono dati personali e finanziari e potrebbero non ricevere lo stesso investimento di sicurezza delle reti di ricerca.
L’incidente si aggiunge a una serie di recenti violazioni che hanno coinvolto importanti università. I consulenti per la sicurezza hanno affermato che questi casi illustrano sfide di lunga data associate ai sistemi legacy, alle strutture IT frammentate e alle complesse dipendenze dai fornitori. Hanno raccomandato una segmentazione più forte degli ambienti amministrativi, valutazioni di sicurezza più frequenti e una migliore supervisione dei fornitori terzi.
L’università ha dichiarato che continuerà a esaminare i log e altre prove tecniche per determinare l’intera portata dell’intrusione. Ha consigliato ai membri della comunità universitaria di rimanere vigili a comunicazioni sospette che facciano riferimento a informazioni personali o finanziarie. I funzionari hanno detto che ulteriori aggiornamenti saranno forniti man mano che emergeranno ulteriori risultati.