Įsilaužėlis prisiėmė atsakomybę už praėjusią savaitę Pensilvanijos universiteto elektroninio pašto incidentą „Mes įsilaužė“ ir teigė, kad tai buvo daug platesnis pažeidimas, atskleidęs 1,2 mln. donorų duomenis ir vidinius dokumentus.
Penktadienį Pensilvanijos universiteto absolventai ir studentai pradėjo gauti daugybę įžeidžiančių el. laiškų iš Penn.edu adresų, kuriuose teigiama, kad į universitetą buvo įsilaužta ir pavogti duomenys.
„Pensilvanijos universitetas yra šunų**** elitinė institucija, pilna pabudusių atsilikėlių. Mes taikome siaubingą saugumo praktiką ir esame visiškai nemeritokratiški”, – rašoma Penn absolventams ir studentams išsiųstame el.
„Mes samdome ir priimame debilus, nes mėgstame palikimą, donorus ir besąlyginius teigiamus veiksmus. Mums patinka pažeisti federalinius įstatymus, tokius kaip FERPA (visi jūsų duomenys bus nutekinti) ir Aukščiausiojo teismo sprendimus, tokius kaip SFFA.”
„BleepingComputer“ patvirtino, kad el. laiškai buvo kilę iš connect.upenn.edu, „Penn“ adresų sąrašo platformos, priglobtos „Salesforce Marketing Cloud“. Universitetas sumenkino incidentą ir apibūdino pranešimus kaip „apgaulingus el. laiškus“, kurie buvo „akivaizdžiai netikri“.
Tačiau grėsmės veikėjas, atsakingas už ataką, susisiekė su „BleepingComputer“, teigdamas, kad įsibrovimas buvo daug platesnis ir kad jie gavo prieigą prie kelių universitetų sistemų.
Įsilaužėlis teigė, kad jų grupė „gavo visišką prieigą“ prie darbuotojo „PennKey SSO“ paskyros, suteikdama prieigą prie „Penn“ VPN, „Salesforce“ duomenų, „Qlik“ analizės platformos, SAP verslo žvalgybos sistemos ir „SharePoint“ failų.
Jie teigė, kad išfiltravo duomenis apie maždaug 1,2 milijono studentų, absolventų ir donorų, įskaitant vardus, gimimo datas, adresus, telefonų numerius, apskaičiuotą grynąją vertę, donorystės istoriją ir demografinius duomenis, tokius kaip religija, rasė ir seksualinė orientacija.
Grėsmės veikėjai pasidalijo ekrano kopijomis ir duomenų pavyzdžiais su „BleepingComputer“ ir paskelbė juos internete, kad įrodytų, jog jie tikrai pasiekė šias sistemas ir pavogė duomenis iš „Penn“.
Užpuolikai „BleepingComputer“ papasakojo, kad „Penn“ sistemas pažeidė spalio 30 d. ir baigė duomenų atsisiuntimą iki spalio 31 d., kai buvo užrakinta pažeista darbuotojo paskyra ir prarasta prieiga.
Sužinojęs, kad jų prieiga buvo atšaukta, įsilaužėlis pasakė, kad vis dar turi prieigą prie „Salesforce Marketing Cloud“ ir naudojo ją masiniam įžeidžiančiam el. laiškui išsiųsti maždaug 700 000 gavėjų.
Paklaustas, ar kredencialai buvo pavogti per informacijos vagystę ar sukčiaujant, įsilaužėlis atsisakė detalizuoti, sakydamas, kad įsibrovimas buvo paprastas ir įvyko dėl Penno saugumo spragų.
Nuo to laiko įsilaužėlis paskelbė 1,7 GB archyvą, kuriame yra skaičiuoklės, aukojamos medžiagos ir kiti failai, tariamai paimti iš „Penn's SharePoint“ ir „Box“ sistemų.
Užpuolikas „BleepingComputer“ sakė, kad ne prievartauja universiteto, sakydamas: „Nemanome, kad jie mokėtų, ir mes patys galime išgauti daug vertės iš duomenų“.
Paklausti apie jų motyvaciją, įsilaužėliai sakė, kad ataka nebuvo politinė, o ja buvo siekiama gauti Penno donorų duomenų bazę.
„Nors nesame iš tikrųjų politiškai motyvuoti, nemylime šioms naujagimius aptarnaujančioms įstaigoms“, – „BleepingComputer“ sakė programišiai.
„Pagrindinis tikslas buvo jų didžiulė, nuostabiai turtingų donorų duomenų bazė.
Donorų duomenų bazė dar nebuvo nutekinta, nors grėsmės veikėjai teigia, kad gali ją paskelbti po mėnesio ar dviejų.
Susisiekus su šiais teiginiais, Pensilvanijos universitetas „BleepingComputer“ pasakė: „Tęsiame tyrimą“.
Ką turėtų daryti Penn donorai
Kadangi dabar atskleista daug donorų duomenų, Penn donorai turėtų išlikti budrūs, kad išvengtų tikslinių sukčiavimo ar socialinės inžinerijos bandymų.
Užpuolikai gali panaudoti pavogtą informaciją, kad galėtų apsimesti universitetu, prašyti apgaulingų aukų arba gauti prieigą prie donoro kredencialų, kad galėtų pažeisti savo internetines paskyras.
Gavėjai turėtų įtariai žiūrėti į netikėtus pranešimus apie aukas ir prieš atsakydami tiesiogiai su Pennu patikrinti jų teisėtumą.
MCP (Model Context Protocol) tampant LLM prijungimo prie įrankių ir duomenų standartu, saugos komandos sparčiai dirba, kad šios naujos paslaugos būtų saugios.
Šiame nemokamame apgaulės lape pateikiamos 7 geriausios praktikos, kurias galite pradėti naudoti jau šiandien.
