Bir bilgisayar korsanı, geçen hafta Pensilvanya Üniversitesi’nde yaşanan “Hacklendik” e-posta olayının sorumluluğunu üstlendi ve bunun 1,2 milyon bağışçıya ve dahili belgelere ilişkin verileri açığa çıkaran çok daha kapsamlı bir ihlal olduğunu söyledi.
Cuma günü Pennsylvania Üniversitesi mezunları ve öğrencileri Penn.edu adreslerinden üniversitenin hacklendiğini ve verilerin çalındığını iddia eden çok sayıda rahatsız edici e-posta almaya başladı.
Penn mezunlarına ve öğrencilerine gönderilen e-postada, “Pennsylvania Üniversitesi, gerizekalılarla dolu köpek **** elitist bir kurumdur. Korkunç güvenlik uygulamalarımız var ve kesinlikle hakkaniyetten uzakız” yazıyor.
“Mirasları, bağışçıları ve niteliksiz olumlu ayrımcılık kabullerini sevdiğimiz için moronları işe alıyor ve kabul ediyoruz. FERPA (tüm verileriniz sızdırılacak) gibi federal yasaları ve SFFA gibi Yüksek Mahkeme kararlarını çiğnemeyi seviyoruz.”
BleepingComputer, e-postaların Salesforce Marketing Cloud’da barındırılan bir Penn posta listesi platformu olan connect.upenn.edu’dan geldiğini doğruladı. Üniversite olayı küçümsedi ve mesajları “açıkça sahte” olan “dolandırıcı e-postalar” olarak tanımladı.
Ancak saldırının arkasındaki tehdit aktörü, saldırının çok daha geniş kapsamlı olduğunu ve birden fazla üniversite sistemine erişim elde ettiklerini iddia ederek BleepingComputer ile temasa geçti.
Bilgisayar korsanı, gruplarının bir çalışanın PennKey SSO hesabına “tam erişim elde ettiğini” ve bunun Penn’in VPN’sine, Salesforce verilerine, Qlik analiz platformuna, SAP iş zekası sistemine ve SharePoint dosyalarına erişim sağladığını söyledi.
Yaklaşık 1,2 milyon öğrenci, mezun ve bağışçıdan isimler, doğum tarihleri, adresler, telefon numaraları, tahmini net servet, bağış geçmişi ve din, ırk ve cinsel yönelim gibi demografik ayrıntılar dahil olmak üzere verileri sızdırdıklarını söylediler.
Tehdit aktörleri, bu sistemlere gerçekten eriştiklerini ve Penn’den veri çaldıklarını kanıtlamak için ekran görüntülerini ve veri örneklerini BleepingComputer ile paylaştı ve bunları çevrimiçi olarak yayınladı.
Saldırganlar, BleepingComputer’a 30 Ekim’de Penn’in sistemlerini ihlal ettiklerini ve ele geçirilen çalışan hesabının kilitlenip erişimin kesildiği 31 Ekim’de veri indirme işlemlerini tamamladıklarını söyledi.
Erişimlerinin iptal edildiğini keşfettikten sonra bilgisayar korsanı, Salesforce Marketing Cloud’a hâlâ erişimlerinin olduğunu ve bunu saldırgan toplu e-postayı yaklaşık 700.000 alıcıya göndermek için kullandığını söyledi.
Kimlik bilgilerinin bir bilgi hırsızlığı mı yoksa kimlik avı yoluyla mı çalındığı sorulduğunda bilgisayar korsanı, saldırının basit olduğunu ve Penn’in güvenlik açıklarından kaynaklandığını söyleyerek ayrıntılı bilgi vermeyi reddetti.
Bilgisayar korsanı o zamandan beri elektronik tablolar, bağış malzemeleri ve Penn’in SharePoint ve Box sistemlerinden alındığı iddia edilen diğer dosyaları içeren 1,7 GB’lık bir arşiv yayınladı.
Saldırgan, BleepingComputer’a üniversiteden şantaj yapmadıklarını söyleyerek, “Ödeme yapacaklarını düşünmüyoruz ve verilerden kendimiz büyük değer elde edebiliriz” dedi.
Motivasyonları sorulduğunda bilgisayar korsanları, saldırının siyasi olmadığını, Penn’in bağışçı veritabanını ele geçirmeyi amaçladığını söyledi.
Bilgisayar korsanları BleepingComputer’a “Aslında politik olarak motive olmasak da, bu nepobaby hizmet veren kurumlara karşı sevgimiz yok” dedi.
“Asıl amaç onların geniş, olağanüstü derecede zengin bağışçı veri tabanıydı.”
Bağışçı veritabanı henüz sızdırılmadı ancak tehdit aktörleri veritabanını bir veya iki ay içinde yayınlayabileceklerini iddia ediyor.
Bu iddialarla iletişime geçildiğinde Pennsylvania Üniversitesi BleepingComputer’a “Araştırmaya devam ediyoruz” dedi.
Penn bağışçılarının yapması gerekenler
Büyük miktarda bağışçı verisinin açığa çıkması nedeniyle Penn bağışçılarının hedefli kimlik avı veya sosyal mühendislik girişimlerine karşı dikkatli olmaları gerekiyor.
Saldırganlar, çalınan bilgileri üniversitenin kimliğine bürünmek, sahte bağışlar istemek veya çevrimiçi hesaplarını ihlal etmek amacıyla bağışçı kimlik bilgilerine erişim sağlamak için kullanabilir.
Alıcılar, bağışlarla ilgili beklenmedik mesajlara şüpheyle yaklaşmalı ve yanıt vermeden önce meşruiyetlerini doğrudan Penn ile doğrulamalıdır.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.