Pensilvanya Üniversitesi, bir bilgisayar korsanının bir saldırı sırasında hassas üniversite verilerini çaldığını doğruladı. son siber saldırı. İlk olarak 31 Ekim 2025’te tespit edilen ihlal, üniversitenin geliştirme ve mezun faaliyetleriyle bağlantılı sistemlere yetkisiz erişimle sonuçlandı.
Başlangıçta Pennsylvania Üniversitesi, hack haberlerini “dolandırıcılık” olarak nitelendirerek reddetti. Ancak yetkililer daha sonra verilerin gerçekten alındığını kabul etti. Mezunlara yapılan ve kamuoyuyla paylaşılan bir bildiride üniversite, personelin “sistemleri hızlı bir şekilde kilitlediğini ve daha fazla yetkisiz erişimi önlediğini, ancak bunu topluluğumuza saldırgan ve sahtekarlık içeren bir e-posta gönderilmeden ve bilgilerin saldırgan tarafından ele geçirilmesinden önce” açıkladı.
Pensilvanya Üniversitesi İhlal ve Saldırı Ayrıntıları
Saldırganlar, bireyleri kimlik bilgilerini açığa çıkaracak şekilde aldatan bir yöntem olan sosyal mühendislik tekniği aracılığıyla erişim sağladılar. Bilgisayar korsanları içeri girdikten sonra resmi üniversite adreslerinden toplu bir e-posta gönderdiler. E-postada şunlar yazıyordu: “Hacklendik. FERPA gibi federal yasaları çiğnemeyi seviyoruz (tüm verileriniz sızdırılacak). Lütfen bize para vermeyi bırakın.”
Raporlara göre bilgisayar korsanları, üniversitenin VPN’si, Salesforce veritabanları, SAP sistemleri ve SharePoint dosyaları da dahil olmak üzere birden fazla dahili sisteme erişmelerine olanak tanıyan bir PennKey tek oturum açma hesabını ele geçirdi. Bu erişimin tespit edilip kontrol altına alınıncaya kadar 30 Ekim’den 31 Ekim’e kadar yaklaşık iki gün sürdüğü bildirildi.
Dahili bir kaynak, üniversitenin güvenlik önlemi olarak öğrenciler, personel ve mezun hesapları için çok faktörlü kimlik doğrulama (MFA) gerektirir. Ancak bazı üst düzey yetkililere Dışişleri Bakanlığı şartından muafiyet tanındığı iddia edildi.
Bir üniversite sözcüsü, MFA muafiyetleri veya evlat edinme oranları sorulduğunda resmi veri olayı sayfasının ötesinde yorum yapmayı reddetti.
Veri Hırsızlığının Kapsamı
Veri ihlalinin tam kapsamı belirsizliğini korurken, raporlar 1,2 milyon kadar kaydın ele geçirilmiş olabileceğini öne sürüyor. Çalınan verilerin isimleri, iletişim bilgilerini, bağış kayıtlarını, tahmini net serveti ve ırk, din ve cinsel yönelim gibi demografik bilgileri içerdiği bildiriliyor. Bilgisayar korsanı ayrıca bağışçı faaliyetleri ve banka işlem makbuzlarıyla ilgili belgelere de eriştiğini iddia etti.
Üniversite hâlâ hasarı değerlendiriyor olsa da yetkililer Penn Medicine tarafından işletilen tıbbi sistemlerin etkilenmediğini doğruladı. Herhangi bir zaman çizelgesi açıklanmasa da, kanunun gerektirdiği şekilde, üniversite kişisel verileri ele geçirilen kişilerle iletişime geçecektir.
Soruşturma ve Yasal Etkiler
Pensilvanya Üniversitesi, olayı Federal Soruşturma Bürosu’na (FBI) bildirdi ve soruşturmaya yardımcı olmaları için üçüncü taraf siber güvenlik uzmanlarını görevlendirdi. Bu eylemlere rağmen üniversite halihazırda potansiyel hukuki sonuçlarla karşı karşıyadır. Eski öğrenciler tarafından üniversiteyi mesleki ihmalle suçlayan en az bir toplu dava açıldı.kişisel verileri tespit etmek.
Bilgisayar korsanlarının motivasyonları karışık görünüyor. Saldırganlar, üniversite camiasına gönderdikleri ilk mesajda eski kabulleri ve olumlu ayrımcılık politikalarını eleştirdiler ve şöyle dediler: “Mirasları, bağışçıları ve niteliksiz olumlu ayrımcılık kabullerini sevdiğimiz için moronları işe alıyoruz ve kabul ediyoruz.” Ancak gruptan yapılan diğer açıklamalar, asıl amacının mali olduğunu, siyasi bir açıklama yapmak yerine çalınan verilerden kâr elde etmeyi amaçladığını gösteriyor.