La Universidad de Pensilvania confirmó el martes que un hacker robó datos de la universidad como parte de la filtración de datos de la semana pasada, durante la cual exalumnos y otros afiliados recibieron correos electrónicos sospechosos de direcciones de correo electrónico oficiales de la universidad.
“Nos piratearon”, decía el mensaje de los piratas informáticos. “Nos encanta violar leyes federales como FERPA (todos sus datos se filtrarán)”, agrega el mensaje. “Por favor, deja de darnos dinero”.
Si bien Penn inicialmente le dijo a TechCrunch que el correo electrónico era “fraudulento”, la universidad ahora ha confirmado la afirmación del pirata informático de que se tomaron datos durante la violación.
“El 31 de octubre, Penn descubrió que un grupo selecto de sistemas de información relacionados con el desarrollo de Penn y las actividades de los ex alumnos habían sido comprometidos”, escribió la universidad en un comunicado, que fue enviado por correo electrónico a los ex alumnos y compartido en línea. “El personal de Penn bloqueó rápidamente los sistemas e impidió el acceso no autorizado; sin embargo, no antes de que se enviara un correo electrónico ofensivo y fraudulento a nuestra comunidad y el atacante tomara información”.
(Divulgación: como exalumna y ex empleada de la universidad, los piratas informáticos enviaron el mensaje a mi correo electrónico personal tres veces, cada una proveniente de diferentes funcionarios). @upenn.edu direcciones de correo electrónico, incluida una de un miembro superior del personal de Penn).
La universidad dijo que la violación se produjo debido a un ataque de ingeniería social, una técnica de piratería informática en la que se engaña a las personas para que entreguen información confidencial como credenciales de inicio de sesión, tal vez mediante phishing o una llamada telefónica.
Un empleado de Penn, a quien no nombramos porque no estaba autorizado a hablar con la prensa, le dijo a TechCrunch que la universidad requiere que los estudiantes, el personal y los ex alumnos utilicen la autenticación multifactor (MFA) en sus cuentas como medida de seguridad; sin embargo, el empleado dijo que a algunos funcionarios de alto rango se les concedieron exenciones de los requisitos del MFA.
TechCrunch preguntó a Penn sobre estas supuestas excepciones de MFA y si la universidad podría proporcionar un porcentaje de adopción de MFA entre el personal. El portavoz de Penn, Ron Ozio, se negó a hacer comentarios a TechCrunch más allá de Penn. página oficial de incidentes de datos.
Como lo exige la ley, Penn dijo que se comunicará con personas a cuya información personal accedieron los piratas informáticos. La universidad no ha dicho cuándo se producirán estas notificaciones, cuántas personas están afectadas ni a qué información se accedió.
El diario de Pensilvania informa que el presunto hacker de Penn afirmó haber tomado documentos relacionados con donantes universitarios, recibos de transacciones bancarias e información de identificación personal. El hacker dijo que estaban motivados económicamente.
A principios de este año, los piratas informáticos irrumpieron en la Universidad de Columbia y accedieron a información confidencial sobre alrededor de 870.000 estudiantes y solicitantesincluidos sus números de Seguro Social y su estado de ciudadanía.
Tanto el ataque de Penn como el de Columbia parecen motivados por el descontento con las políticas de acción afirmativa. En el correo electrónico que el hacker de Penn envió a la comunidad universitaria, el hacker escribió: “Contratamos y admitimos idiotas porque amamos los legados, los donantes y la acción afirmativa no calificada admite”. Mientras tanto, el hacker de Columbia le dijo a Bloomberg que intentaron acceder a datos de la universidad para investigar sus prácticas de acción afirmativa.
Si tiene más información sobre el hack de Penn, puede comunicarse con Amanda Silberling de forma segura en Signal en @amanda.100, o por correo electrónico, desde un dispositivo que no sea de trabajo.
