Pennsylvania Üniversitesi, saldırganların Oracle E-Business Suite’deki bir açığı istismar etmesinin ardından meydana gelen bir veri ihlalini araştırıyor. Üniversite, 11 Kasım’da yetkisiz erişim tespit ettiğini ve etkilenen idari ortamla ilgili bir soruşturma başlattığını açıkladı. Tehlikeye giren sistemler, tedarikçi ödemeleri, geri ödemeler ve defter faaliyetleri dahil olmak üzere finansal ve operasyonel işlevleri destekler. Bu sistemler, üniversitenin akademik ve araştırma platformlarından ayrıdır.
Bir düzenleyici dosya, en az 1.488 kişinin kişisel bilgilerinin açığa çıktığını gösterdi. Bu rakam, bir ABD eyaletinin sakinlerini yansıtmakta olup olayın tam kapsamını yansıtmaz. Üniversite, daha geniş topluluğunda etkilenen bireylerin toplam sayısının daha yüksek olabileceğini belirtti. Şu aşamada yetkililer, verilerin yayımlandığına veya sahtekarlık faaliyetlerinde kullanıldığına dair hiçbir kanıt olmadığını söyledi.
Üniversite, Oracle’ın güvenlik yamalarını uyguladığını, tehlikedeki ortamı izole ettiğini ve ek izleme kontrolleri getirdiğini bildirdi. Dış siber güvenlik uzmanları ve kolluk kuvvetleri soruşturmaya yardımcı oluyor. Üniversite, etkilenen bireyleri bilgilendirmekte ve kredi izleme ile kimlik koruma hizmetleri sunmaktadır.
Güvenlik analistleri, ihlalın, yaygın olarak konuşlanmış kurumsal yazılımlara güvenen kurumların karşılaştığı sistematik riskleri ortaya koyduğunu belirtti. Oracle E-Business Suite, finansal ve idari işlemler için yaygın olarak kullanılan bir platformdur. Araştırmacılar, büyük üçüncü taraf sistemlerdeki güvenlik açıklarının birçok kuruluşta koordineli veya neredeyse eşzamanlı saldırılara yol açabileceğini belirtti. Saldırganların, yüksek öğrenimdeki finansal ve idari sistemleri hedef aldığını çünkü bu sistemlerin kişisel ve finansal veriler içerdiğini ve araştırma ağları kadar güvenlik yatırımı alamayabileceğini belirttiler.
Bu olay, büyük üniversiteleri içeren son dönemde yaşanan bir dizi ihlale katkıda bulunuyor. Güvenlik danışmanları, bu vakaların eski sistemler, parçalanmış BT yapıları ve karmaşık tedarikçi bağımlılıklarıyla ilişkili uzun süredir devam eden zorlukları gösterdiğini söyledi. İdari ortamların daha güçlü segmentasyonlarını, daha sık güvenlik değerlendirmelerini ve üçüncü taraf tedarikçilerin daha iyi denetimini önerdiler.
Üniversite, müdahalenin tam kapsamını belirlemek için kayıtları ve diğer teknik kanıtları incelemeye devam edeceğini açıkladı. Üniversite topluluğu üyelerine, kişisel veya finansal bilgilere atıfta bulunan şüpheli iletişimlere karşı dikkatli olmaları tavsiye edildi. Yetkililer, daha fazla bulgu ortaya çıktıkça daha fazla güncelleme yapılacağını söyledi.