L’Université de Pennsylvanie a confirmé qu’un pirate informatique avait violé de nombreux systèmes internes liés au développement de l’université et aux activités des anciens élèves et volé des données lors d’une cyberattaque.
Dans une nouvelle déclaration, Penn a confirmé les rapports de Breachtrace selon lesquels les pirates ont violé ses systèmes en utilisant des informations d’identification compromises, déclarant qu’ils avaient été volés lors d’une attaque d’ingénierie sociale.
« Le 31 octobre, Penn a découvert qu’un groupe restreint de systèmes d’information liés au développement de Penn et aux activités des anciens élèves avaient été compromis », lit-on dans une nouvelle déclaration de Penn.
« Penn emploie un solide programme de sécurité de l’information; cependant, l’accès à ces systèmes est dû à une usurpation d’identité sophistiquée communément appelée ingénierie sociale. »
« Le personnel de Penn a rapidement verrouillé les systèmes et empêché tout accès non autorisé supplémentaire; cependant, pas avant qu’un e-mail offensant et frauduleux ait été envoyé à notre communauté et que des informations aient été prises par l’attaquant. Penn enquête toujours sur la nature des informations obtenues pendant cette période. »
L’Université de Pennsylvanie a déclaré avoir informé le FBI de la violation et travaille avec CrowdStrike pour enquêter sur l’incident de sécurité.
Comme indiqué pour la première fois par Breachtrace , l’auteur de la menace a violé les systèmes de Penn le 30 octobre à l’aide du compte PennKey SSO d’un employé qui donnait accès à l’instance Salesforce de l’université, à la plate-forme d’analyse Qlik, au système SAP business Intelligence et aux fichiers SharePoint.
Grâce à cet accès, les auteurs de la menace ont volé 1,71 Go de documents internes sur les plates-formes de stockage SharePoint et Box de l’université, y compris des feuilles de calcul, des documents, des informations financières et des supports marketing pour les anciens élèves.
Les pirates ont également déclaré à Breachtrace qu’ils avaient volé la base de données de marketing des donateurs Salesforce de Penn, contenant 1,2 million d’enregistrements contenant une grande variété d’informations sur les donateurs.
Un échantillon de ces données comprend 158 champs distincts, qui contiennent les informations sensibles suivantes:
- Informations personnelles identifiables( PII): nom complet, date de naissance, sexe, adresses personnelles et postales, numéros de téléphone et adresses e-mail.
- Données financières et données sur les donateurs: historiques de dons, cotes de richesse et montants d’engagement à vie.
- Détails de l’emploi et de l’affiliation: employeur, intitulé du poste et affiliations académiques.
Après avoir découvert que leur accès avait été révoqué, le pirate informatique a déclaré qu’il avait toujours accès au compte Salesforce Marketing Cloud de Penn et l’a utilisé pour envoyer un e-mail de masse offensant à 700 000 destinataires.
Dans un post sur un forum de piratage, les attaquants disent qu’ils ne divulguent pas actuellement les enregistrements de données, mais qu’ils pourraient le faire dans un mois ou deux.
Alors que les pirates ont affirmé que l’attaque n’était pas motivée par des considérations politiques et ont déclaré que leur objectif était la « vaste base de données de donateurs merveilleusement riche » de Penn, leurs courriels et un message sur un forum de piratage étaient entachés de vives critiques des pratiques présumées de DEI de l’université, politiques d’admission, et « l’amour des népobabies. »
L’Université de Pennsylvanie a déclaré qu’elle prenait des mesures pour accroître la sécurité de ses systèmes, notamment en formant les employés aux attaques d’ingénierie sociale et en renforçant les mesures de surveillance et de sécurité.
Une fois l’enquête terminée, Penn a déclaré qu’il informerait les personnes touchées par la violation de données.
L’université avertit également les étudiants et les anciens élèves de Penn de se méfier des appels ou des courriels suspects qui pourraient être des tentatives de phishing ou des attaques d’ingénierie sociale.