A Universidade da Pensilvânia está investigando uma violação de dados que ocorreu após atacantes explorarem uma vulnerabilidade no Oracle E-Business Suite. A universidade afirmou ter identificado acesso não autorizado em 11 de novembro e iniciou uma investigação sobre o ambiente administrativo afetado. Os sistemas comprometidos apoiam funções financeiras e operacionais, incluindo pagamentos a fornecedores, reembolsos e atividades de livro-caixa. Esses sistemas são separados das plataformas acadêmicas e de pesquisa da universidade.
Um documento regulatório mostrou que pelo menos 1.488 indivíduos tiveram informações pessoais expostas. Esse número reflete moradores de um estado dos EUA e não representa toda a extensão do incidente. A universidade afirmou que o número total de pessoas afetadas em sua comunidade mais ampla pode ser maior. Neste momento, autoridades disseram que não há evidências de que os dados tenham sido publicados ou usados em atividades fraudulentas.
A universidade informou que aplicou os patches de segurança da Oracle, isolou o ambiente comprometido e introduziu controles adicionais de monitoramento. Especialistas externos em cibersegurança e agências de aplicação da lei estão auxiliando na investigação. A universidade está notificando os indivíduos afetados e oferecendo serviços de monitoramento de crédito e proteção de identidade.
Analistas de segurança afirmaram que a violação destaca riscos sistêmicos enfrentados por instituições que dependem de softwares corporativos amplamente implantados. O Oracle E-Business Suite é uma plataforma comumente utilizada para operações financeiras e administrativas. Pesquisadores observaram que vulnerabilidades em grandes sistemas de terceiros podem levar a ataques coordenados ou quase simultâneos em muitas organizações. Eles disseram que atacantes frequentemente miram sistemas financeiros e administrativos no ensino superior porque esses sistemas contêm dados pessoais e financeiros e podem não receber o mesmo investimento em segurança que as redes de pesquisa.
O incidente se soma a uma série de violações recentes envolvendo grandes universidades. Consultores de segurança afirmaram que esses casos ilustram desafios antigos associados a sistemas legados, estruturas de TI fragmentadas e dependências complexas de fornecedores. Eles recomendaram uma segmentação mais forte dos ambientes administrativos, avaliações de segurança mais frequentes e melhor supervisão dos fornecedores terceirizados.
A universidade afirmou que continuará revisando registros e outras evidências técnicas para determinar a extensão total da invasão. O relatório orientou os membros da comunidade universitária a permanecerem atentos a comunicações suspeitas que façam referência a informações pessoais ou financeiras. Autoridades disseram que novas atualizações serão fornecidas à medida que surgirem mais descobertas.