Pennsylvania Üniversitesi (Penn), saldırganların Ağustos ayında Oracle E-Business Suite sunucularından kişisel bilgiler içeren belgeleri çalmasının ardından yeni bir veri ihlali duyurdu.
Özel Ivy League araştırma üniversitesi 1740 yılında kurulmuştur ve 5.827 öğretim üyesi ve 29.109 öğrenciye sahiptir ve öğrenci-öğretim üyesi oranı 8:1’dir. Ayrıca 30 Haziran 2025 itibarıyla 4,7 milyar dolarlık bir akademik işletme bütçesi ve 24,8 milyar dolarlık bir bağışı var.
Pensilvanya Üniversitesi, bir bilgisayar korsanının iç sistemleri tehlikeye atması ve Penn’in geliştirme ve mezun faaliyetlerine ilişkin verileri çalmasının ardından Ekim 2025’in sonlarında başka bir ihlali daha ortaya çıkardı. Saldırgan, yaklaşık 1,2 milyon öğrenciye, mezuna ve bağışçıya ait kişisel bilgileri sızdırdığını iddia etti.
Son haftalarda, diğer Ivy League okulları bir dizi sesli kimlik avı saldırısının hedefi oldu; Harvard Üniversitesi ve Princeton Üniversitesi ayrıca bir bilgisayar korsanının öğrencilerin, mezunların, bağışçıların, personelin ve öğretim üyelerinin kişisel bilgilerini çalmak amacıyla geliştirme ve mezun etkinlikleri için kullanılan sistemleri ihlal ettiğini bildirdi.
Penn’in Oracle EBS ihlali
Bu hafta Maine Başsavcılığı’na gönderilen bir ihlal bildirim mektubunda Penn, saldırganların 1.488 kişiye ait kişisel bilgileri çalmak için Oracle E-Business Suite (EBS) finansal uygulamasındaki önceden bilinmeyen bir güvenlik açığından (sıfır gün kusuru olarak da bilinir) yararlandığını belirtti.
Bununla birlikte, okulun saldırıda verileri tehlikeye giren kişilerin tam sayısını henüz açıklamadığı göz önüne alındığında, olaydan potansiyel olarak etkilenen kişilerin sayısı muhtemelen çok daha fazladır.
Üniversite veri ihlalinden etkilenenlere, “Penn’in kendi soruşturması sırasında, Penn’in Oracle EBS’sinden bazı verilerin izinsiz olarak elde edildiğini keşfettik. Daha sonra herhangi bir kişisel bilginin içerip içermediğini belirlemek ve etkilenen kişileri belirlemek için ayrıntılı bir inceleme başlattık” dedi.
“11 Kasım 2025’te Penn, Oracle EBS’den alınan bilgiler arasında kişisel bilgilerinizin de bulunduğunu belirledi.”
İhlalde açığa çıkan veri türleri, gönderilen bildirim mektuplarında sansürlenirken Penn, Maine OAG’ye, tehdit aktörlerinin etkilenen kişilerin adlarını veya diğer kişisel tanımlayıcılarını içeren dosyaları çaldığını bildirdi.
Penn’in bir sözcüsü bugün BleepingComputer’a bir açıklama yaptı ancak saldırganlar, çalınan veri türleri veya veri ihlalinden etkilenen kişi sayısı hakkında ayrıntıları açıklamadı.
BleepingComputer’a şöyle denildi: “Pennsylvania Üniversitesi, Oracle’ın sisteminde daha önce bilinmeyen bir güvenlik açığı içeren ve yaygın olarak istismar edilen Oracle E-Business Suite olayından aynı anda etkilenen, halihazırda tanımlanmış yaklaşık 100 kuruluştan biriydi. Penn, Oracle’ın, Oracle’ın E-Business Suite dışındaki herhangi bir Üniversite sistemini tehlikeye atmayan güvenlik açığını çözmek için yayınladığı yamaları uyguladı.”
“Kişisel bilgileri ilgili yasa ve düzenlemelere uygun olarak bu kişilere doğrudan bildirimde bulunma sürecindeyiz. Daha da önemlisi, Penn bu bilgilerin herhangi birinin kamuya açıklandığı veya ifşa edilmesinin muhtemel olduğuna veya dolandırıcılık amacıyla kötüye kullanıldığına dair hiçbir kanıt bulamadı.”
Clop’un Oracle EBS veri hırsızlığı saldırıları
Her ne kadar Pensilvanya Üniversitesi ihlal bildirim mektuplarında paylaşılan ayrıntılara dayanarak henüz ihlali ilişkilendirmemiş olsa da olay, Clop fidye yazılımı çetesinin Ağustos 2025’in başlarından bu yana birçok kuruluşun Oracle EBS platformlarından hassas dosyaları çalmak için sıfır gün kusurundan (CVE-2025-61882) yararlandığı daha büyük bir gasp kampanyasının parçası.
Ayrıca Clop’un Pensilvanya Üniversitesi’ni henüz sızıntı sitesine eklemediğini de belirtmekte fayda var; bu da üniversitenin ya hala tehdit grubuyla pazarlık yaptığını ya da zaten bir fidye ödediğini gösteriyor.
Aynı kampanyada Clop, Harvard Üniversitesi’ni, The Washington Post’u, GlobalLogic’i, Logitech’i ve American Airlines’ın bağlı kuruluşu Envoy Air’i de hedef alarak çalınan verileri karanlık web sızıntı sitesinde yayınladı ve Torrent aracılığıyla indirilebilir hale getirdi.
Geçmişte, gasp grubu aynı zamanda Accellion FTA, GoAnywhere MFT, Cleo ve MOVEit Transfer müşterilerini hedef alan çok sayıda veri hırsızlığı kampanyası da düzenlemişti; bunlardan ikincisi 2.770’den fazla kuruluşu etkilemişti.
ABD Dışişleri Bakanlığı, Clop’un saldırılarını yabancı bir hükümete bağlayan bilgiyi sağlayan herkese 10 milyon dolar ödül teklif ediyor.
Güncelleme 02 Aralık 08:13 EST: Pensilvanya Üniversitesi’nden açıklama eklendi.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.