A Universidade de Sydney confirmou um ataque cibernético que expôs informações pessoais de aproximadamente 27.000 pessoas armazenadas em uma biblioteca de código histórico usada para testes e desenvolvimento. A universidade afirmou que hackers acessaram arquivos arquivados contendo nomes, datas de nascimento, números de telefone, endereços residenciais, detalhes de emprego e outras informações pessoais de funcionários atuais e antigos, ex-alunos e um pequeno número de doadores. A violação foi identificada após a universidade detectar atividade suspeita no repositório de códigos online e tomar medidas imediatas para bloquear o acesso e remover os arquivos afetados.
Nicole Gower, vice-presidente de operações, informou à equipe em uma mensagem interna que os dados comprometidos incluíam registros de cerca de 10.000 funcionários atuais e 12.000 ex-funcionários e afiliados, cerca de 5.000 ex-alunos e seis doadores. A universidade afirmou não ter conhecimento de qualquer uso indevido ou publicação dos dados e estava conduzindo monitoramento extensivo para avaliar se alguma das informações havia aparecido em sistemas externos. Também afirmou que a notificação a todos os indivíduos afetados está em andamento e que deve continuar no próximo mês.
A Universidade de Sydney afirmou que havia apagado os dados expostos da biblioteca de códigos e reportado o incidente às autoridades competentes, incluindo reguladores estaduais e federais de privacidade e órgãos de cibersegurança. Incentivou os afetados a tomarem medidas de precaução para proteger suas informações pessoais. Um comunicado da universidade reconheceu que a violação pode causar preocupação e ofereceu serviços de apoio para os afetados.
O ataque teve como alvo registros históricos que não faziam parte dos sistemas administrativos ativos e eram usados principalmente para fins de testes, segundo a comunicação da universidade à equipe. A instituição afirmou que isolou o sistema vulnerável assim que foi alertado sobre atividades incomuns e que agora está trabalhando com parceiros de cibersegurança para fortalecer o monitoramento e prevenir novos incidentes.
A confirmação da violação pela Universidade de Sydney distingue este incidente de erros de processamento não relacionados que ocorreram ao mesmo tempo, incluindo um erro de distribuição de e-mails em que alguns estudantes receberam resultados semestrais incorretos. A universidade esclareceu que a questão do resultado do exame não envolvia dados pessoais de outros estudantes e era um problema operacional separado.
Campi universitários e instituições de pesquisa na Austrália e internacionalmente já foram alvo de ataques cibernéticos anteriores devido ao volume e à sensibilidade dos dados que armazenam e compartilham. A violação da Universidade de Sydney está entre os exemplos mais recentes de instituições educacionais que abordaram vulnerabilidades em sistemas legados e repositórios arquivados.