La Universidad de Pensilvania confirma que un hacker robó datos durante un ciberataque.
PHILADELPHIA, PA - JULIO 17: Una vista general del escudo de la Universidad de Pennsylvania en la Universidad de Pennsylvania, en Philadelphia, PA.
La Universidad de Pennsylvania confirmó el martes que un hacker robó datos de la universidad como parte de el último hackeo de la semana pasada, durante el cual los alumni y otros afiliados recibieron correos electrónicos sospechosos desde direcciones de correo electrónico oficiales de la universidad.
“Nos hackearon,” decía el mensaje de los hackers. “Nos encanta romper leyes federales como FERPA (todos tus datos se filtrarán)”, añadía el mensaje. “Por favor, deja de darnos dinero”
Aunque Penn inicialmente le dijo a TechCrunch que el correo electrónico era “fraudulento”, la universidad ha confirmado ahora que los hackers robaron datos durante el hackeo.
“El 31 de octubre, Penn descubrió que un grupo selecto de sistemas de información relacionados con el desarrollo y las actividades de los alumni de Penn habían sido comprometidos”, escribió la universidad en un comunicado que se envió por correo electrónico a los alumni y compartido en línea. “El personal de Penn bloqueó rápidamente los sistemas y evitó un acceso no autorizado adicional; sin embargo, no antes de que se enviara un correo electrónico ofensivo y fraudulento a nuestra comunidad y se tomara información por el atacante”
(Desglose: Como alumna y ex empleada de la universidad, los hackers me enviaron el mensaje a mi correo electrónico personal tres veces, cada uno desde diferentes direcciones de correo electrónico oficiales @upenn.edu, incluyendo uno de un miembro del personal de alto rango de Penn.)
Un correo electrónico parcialmente reeditado enviado por hackers con acceso al sistema de correo electrónico de la Universidad de Pennsylvania.
La universidad dijo que el hackeo se produjo debido a un ataque de ingeniería social, una técnica de hacking en la que las personas son engañadas para que entreguen información sensible como credenciales de inicio de sesión, posiblemente a través de un correo electrónico de phishing o una llamada telefónica.
Un empleado de Penn, que no queremos identificar porque no estaba autorizado para hablar con los medios, le dijo a TechCrunch que la universidad requiere a los estudiantes, el personal y los alumni que utilicen autenticación de múltiples factores (MFA) en sus cuentas como medida de seguridad; sin embargo, el empleado dijo que algunos altos funcionarios fueron exentos de los requisitos de MFA.
TechCrunch preguntó a Penn sobre estas supuestas excepciones de MFA y si la universidad podía proporcionar un porcentaje de adopción de MFA entre el personal. El portavoz de Penn, Ron Ozio, se negó a comentar con TechCrunch más allá de la página oficial de incidentes de datos de Penn.
Según la ley, Penn dijo que contactará a las personas whose personal information was accessed by hackers. La universidad no ha dicho cuándo ocurrirán estas notificaciones, cuántas personas están afectadas ni qué información se accedió.
The Daily Pennsylvanian reporta que el hacker presunto de Penn afirmó haber tomado documentos relacionados con donantes de la universidad, recibos de transacciones bancarias y información personalmente identificable. El hacker dijo que estaba motivado financieramente,
Más temprano este año, hackers hackearon Columbia University, accediendo a información sensible sobre alrededor 870,000 estudiantes y solicitantes, incluyendo sus números de seguridad social y estado de ciudadanía.
Ambos hackeos de Penn y Columbia parecen estar motivados por el descontento con las políticas de acción afirmativa. En el correo electrónico que el hacker de Penn envió a la comunidad universitaria, el hacker escribió, “Contratamos y admitimos a idiotas porque amamos a los legados, a los donantes y a los admitidos por acción afirmativa no calificados”. Mientras tanto, el hacker de Columbia le dijo a Bloomberg que buscaba acceder a datos de la universidad para investigar sus prácticas de acción afirmativa.
Si tienes más información sobre el hackeo de Penn, puedes contactar a Amanda Silberling de manera segura en Signal en @amanda.100, o por correo electrónico, desde un dispositivo que no sea de trabajo.