La Universidad de Pensilvania reconoció el martes que los piratas informáticos robaron los datos de la universidad como parte de la filtración de datos de la semana pasada, durante la cual exalumnos y otros funcionarios recibieron correos electrónicos sospechosos de direcciones de correo electrónico oficiales de la universidad.
El mensaje del hacker decía: «Hemos sido pirateados». «Nos encanta violar leyes federales como FERPA (todos sus datos se filtrarán)», agrega el mensaje. «Por favor, deja de darme dinero».
Penn inicialmente le dijo a TechCrunch que el correo electrónico era «fraudulento», pero la universidad ahora reconoció las afirmaciones de los piratas informáticos de que los datos fueron robados durante la violación.
«El 31 de octubre, Penn descubrió que un grupo selecto de sistemas de información relacionados con el desarrollo universitario y las actividades de los exalumnos habían sido comprometidos», dijo la universidad en un comunicado, que fue enviado por correo electrónico a los exalumnos y compartido en línea. «El personal de Penn bloqueó rápidamente el sistema e impidió el acceso no autorizado, pero no antes de que se enviaran correos electrónicos agresivos y fraudulentos a nuestra comunidad y los atacantes robaran información».
(Divulgación: el hacker, un ex alumno de la Universidad y ex empleado, envió mensajes a mi dirección de correo electrónico personal tres veces, cada una con una dirección oficial @upenn.edu diferente, incluida una de un miembro superior del personal de Penn).
La universidad dijo que la infracción se produjo mediante un ataque de ingeniería social. Los ataques de ingeniería social son técnicas de piratería informática en las que se engaña a las personas para que entreguen información confidencial, como credenciales de inicio de sesión, tal vez mediante phishing o llamadas telefónicas.
Un miembro del personal de Penn, que se negó a ser identificado porque no está autorizado a hablar con la prensa, dijo a TechCrunch que la universidad requiere que los estudiantes, empleados y ex alumnos utilicen autenticación multifactor (MFA) en sus cuentas como medida de seguridad. Sin embargo, el empleado dijo que a algunos altos funcionarios se les concedieron exenciones del requisito de la MFA.
TechCrunch preguntó a Penn sobre estas supuestas excepciones de MFA y si las universidades pueden proporcionar tasas de adopción de MFA para sus empleados. El portavoz de Penn, Ron Ozio, se negó a hacer comentarios a TechCrunch fuera de la página oficial de incidentes de datos de Penn.
Penn dijo que se pondría en contacto con las personas a cuya información personal accedieron los piratas informáticos, como lo exige la ley. La universidad no dijo cuándo se realizarían estas notificaciones, cuántas personas se verían afectadas ni a qué información se accedería.
El Daily Pennsylvanian informó que el pirata informático afirmó haber robado documentos relacionados con donantes universitarios, recibos de transacciones bancarias e información de identificación personal. Los piratas informáticos dijeron que tenían motivaciones económicas.
A principios de este año, los piratas informáticos irrumpieron en la Universidad de Columbia y accedieron a información confidencial, incluidos números de Seguro Social y estatus de ciudadanía, de aproximadamente 870.000 estudiantes y solicitantes.
Tanto los ataques de Pensilvania como los de Columbia parecen estar motivados por la insatisfacción con las políticas de acción afirmativa. En un correo electrónico enviado por el hacker de Penn State a la comunidad universitaria, el hacker escribió: «Amamos nuestra herencia y a nuestros donantes, y abrazamos y abrazamos a los tontos porque permitimos la acción afirmativa incondicional». Mientras tanto, los piratas informáticos de la Universidad de Columbia dijeron a Bloomberg que intentaron acceder a los datos de la universidad para investigar sus prácticas de acción afirmativa.
Si desea obtener más información sobre el hack de Penn, puede comunicarse con Amanda Silberling de forma segura en Signal (@amanda.100) o por correo electrónico desde un dispositivo que no sea de trabajo.
Source link
