A Universidade de Princeton está investigando uma violação de dados que afetou um sistema utilizado pelo seu escritório de Desenvolvimento. A universidade informou que um atacante obteve acesso ao banco de dados em 10 de novembro após uma tentativa bem-sucedida de phishing que teve como alvo um funcionário. O intruso manteve o acesso por menos de um dia antes de a conta ser protegida. Princeton afirmou que nenhum outro sistema universitário foi comprometido e que a violação se limitou às informações armazenadas no ambiente de Avanço.
Segundo a universidade, os dados expostos incluem nomes, endereços de e-mail, números de telefone e endereços residenciais e comerciais. O banco de dados contém informações relacionadas a relações com ex-alunos, captação de fundos e atividades de engajamento comunitário. Princeton afirmou que o sistema não armazena números do Seguro Social, senhas ou informações de contas financeiras. A revisão está em andamento e tem como objetivo identificar quais campos foram acessados e quais indivíduos foram afetados.
O grupo de pessoas afetadas é amplo porque o sistema de Desenvolvimento armazena décadas de registros. Inclui ex-alunos, indivíduos que participaram mas não se formaram, doadores, professores e funcionários atuais e antigos, pais de estudantes e cônjuges ou parceiros de ex-alunos. Princeton afirmou que a violação também afeta membros da comunidade mais ampla que participaram de eventos ou mantiveram contato com a universidade por meio de programas de Avanço. Cartas de notificação foram enviadas a pessoas cujas informações podem ter sido expostas.
Embora os dados comprometidos não incluam categorias altamente sensíveis, analistas observam que as informações ainda podem ser usadas para tentativas de phishing ou personificação. Os dados de contato vinculados a uma instituição conhecida podem ajudar os atacantes a criar mensagens convincentes que pareçam legítimas. Especialistas em segurança dizem que informações sobre o relacionamento de uma pessoa com uma organização também podem ser usadas para direcionar solicitações fraudulentas ou coletar dados pessoais adicionais.
O incidente destaca o papel dos sistemas de avanço e engajamento no setor universitário. Esses sistemas frequentemente contêm informações pessoais extensas porque acompanham relacionamentos de longo prazo com ex-alunos, doadores e membros da comunidade. Eles podem nem sempre receber o mesmo nível de investimento em segurança que sistemas financeiros ou acadêmicos, mas contêm dados que podem ser valiosos para os agentes de ameaça. Analistas recomendam que as instituições revisem políticas de acesso, autenticação multifator e práticas de monitoramento para sistemas fora das plataformas administrativas centrais.
Princeton afirmou que está trabalhando com especialistas externos em cibersegurança e autoridades policiais enquanto a investigação continua. A universidade tem incentivado indivíduos afetados a terem cautela com comunicações não solicitadas que mencionem sua afiliação com Princeton ou solicitem informações pessoais. Também recomendou verificar a legitimidade de e-mails inesperados antes de clicar em links ou fornecer detalhes.