De University of Pennsylvania onderzoekt een datalek die plaatsvond nadat aanvallers een kwetsbaarheid in Oracle E-Business Suite hadden uitgebuit. De universiteit zei op 11 november ongeoorloofde toegang te hebben geïdentificeerd en een onderzoek te starten naar de getroffen administratieve omgeving. De gecompromitteerde systemen ondersteunen financiële en operationele functies, waaronder leveranciersbetalingen, terugbetalingen en grootboekactiviteiten. Deze systemen zijn gescheiden van de academische en onderzoeksplatforms van de universiteit.
Een regelgevend document toonde aan dat minstens 1.488 personen persoonlijke informatie blootgesteld hadden. Dit cijfer weerspiegelt inwoners van één Amerikaanse staat en geeft niet de volledige omvang van het incident weer. De universiteit zei dat het totale aantal getroffen personen in de bredere gemeenschap mogelijk hoger is. In dit stadium zeiden functionarissen dat er geen bewijs is dat de gegevens zijn gepubliceerd of gebruikt voor frauduleuze activiteiten.
De universiteit meldde dat zij de beveiligingspatches van Oracle had toegepast, de gecompromitteerde omgeving had geïsoleerd en extra monitoringsmaatregelen had ingevoerd. Externe cybersecurityspecialisten en wetshandhavingsinstanties helpen bij het onderzoek. De universiteit informeert getroffen personen en biedt kredietmonitoring- en identiteitsbeschermingsdiensten aan.
Beveiligingsanalisten zeiden dat de inbreuk de systemische risico’s benadrukt waarmee instellingen die afhankelijk zijn van breed ingezette bedrijfssoftware worden geconfronteerd. Oracle E-Business Suite is een veelgebruikt platform voor financiële en administratieve operaties. Onderzoekers merkten op dat kwetsbaarheden in grote systemen van derden kunnen leiden tot gecoördineerde of bijna gelijktijdige aanvallen binnen veel organisaties. Zij zeiden dat aanvallers vaak financiële en administratieve systemen in het hoger onderwijs aanvallen omdat die systemen persoonlijke en financiële gegevens bevatten en mogelijk niet dezelfde beveiligingsinvestering ontvangen als onderzoeksnetwerken.
Het incident voegt zich bij een reeks recente inbreuken met grote universiteiten. Beveiligingsadviseurs zeiden dat deze gevallen langdurige uitdagingen illustreren die samenhangen met legacy-systemen, gefragmenteerde IT-structuren en complexe leveranciersafhankelijkheden. Zij adviseerden een sterkere segmentatie van administratieve omgevingen, vaker beveiligingsbeoordelingen en beter toezicht op externe leveranciers.
De universiteit zei dat zij de logboeken en ander technisch bewijs zal blijven beoordelen om de volledige omvang van de inbreuk vast te stellen. Zij adviseerde leden van de universiteitsgemeenschap alert te blijven op verdachte communicatie met betrekking tot persoonlijke of financiële informatie. Functionarissen zeiden dat er verdere updates zullen worden gegeven naarmate er meer bevindingen naar voren komen.