Bir bilgisayar korsanı, geçen hafta Pensilvanya Üniversitesi'nde yaşanan "Hacklendik" e-posta olayının sorumluluğunu üstlendi ve bunun 1,2 milyon bağışçıya ve dahili belgelere ilişkin verileri açığa çıkaran çok daha kapsamlı bir ihlal olduğunu söyledi.
Cuma günü Pennsylvania Üniversitesi mezunları ve öğrencileri Penn.edu adreslerinden üniversitenin hacklendiğini ve verilerin çalındığını iddia eden çok sayıda rahatsız edici e-posta almaya başladı.
Penn mezunlarına ve öğrencilerine gönderilen e-postada, "Pennsylvania Üniversitesi, gerizekalılarla dolu köpek **** elitist bir kurumdur. Korkunç güvenlik uygulamalarımız var ve kesinlikle hakkaniyetten uzakız" yazıyor.
"Mirasları, bağışçıları ve niteliksiz olumlu ayrımcılık kabullerini sevdiğimiz için moronları işe alıyor ve kabul ediyoruz. FERPA (tüm verileriniz sızdırılacak) gibi federal yasaları ve SFFA gibi Yüksek Mahkeme kararlarını çiğnemeyi seviyoruz."
BleepingComputer, e-postaların Salesforce Marketing Cloud'da barındırılan bir Penn posta listesi platformu olan connect.upenn.edu'dan geldiğini doğruladı. Üniversite olayı küçümsedi ve mesajları "açıkça sahte" olan "dolandırıcı e-postalar" olarak tanımladı.
Ancak saldırının arkasındaki tehdit aktörü, saldırının çok daha geniş kapsamlı olduğunu ve birden fazla üniversite sistemine erişim elde ettiklerini iddia ederek BleepingComputer ile temasa geçti.
Bilgisayar korsanı, gruplarının bir çalışanın PennKey SSO hesabına "tam erişim elde ettiğini" ve bunun Penn'in VPN'sine, Salesforce verilerine, Qlik analiz platformuna, SAP iş zekası sistemine ve SharePoint dosyalarına erişim sağladığını söyledi.
Yaklaşık 1,2 milyon öğrenci, mezun ve bağışçıdan isimler, doğum tarihleri, adresler, telefon numaraları, tahmini net servet, bağış geçmişi ve din, ırk ve cinsel yönelim gibi demografik ayrıntılar dahil olmak üzere verileri sızdırdıklarını söylediler.
Tehdit aktörleri, bu sistemlere gerçekten eriştiklerini ve Penn'den veri çaldıklarını kanıtlamak için ekran görüntülerini ve veri örneklerini BleepingComputer ile paylaştı ve bunları çevrimiçi olarak yayınladı.
Saldırganlar, BleepingComputer'a 30 Ekim'de Penn'in sistemlerini ihlal ettiklerini ve ele geçirilen çalışan hesabının kilitlenip erişimin kesildiği 31 Ekim'de veri indirme işlemlerini tamamladıklarını söyledi.
Erişimlerinin iptal edildiğini keşfettikten sonra bilgisayar korsanı, Salesforce Marketing Cloud'a hâlâ erişimlerinin olduğunu ve bunu saldırgan toplu e-postayı yaklaşık 700.000 alıcıya göndermek için kullandığını söyledi.
Kimlik bilgilerinin bir bilgi hırsızlığı mı yoksa kimlik avı yoluyla mı çalındığı sorulduğunda bilgisayar korsanı, saldırının basit olduğunu ve Penn'in güvenlik açıklarından kaynaklandığını söyleyerek ayrıntılı bilgi vermeyi reddetti.
Bilgisayar korsanı o zamandan beri elektronik tablolar, bağış malzemeleri ve Penn'in SharePoint ve Box sistemlerinden alındığı iddia edilen diğer dosyaları içeren 1,7 GB'lık bir arşiv yayınladı.
Saldırgan, BleepingComputer'a üniversiteden şantaj yapmadıklarını söyleyerek, "Ödeme yapacaklarını düşünmüyoruz ve verilerden kendimiz de büyük değer elde edebiliriz" dedi.
Motivasyonları sorulduğunda bilgisayar korsanları, saldırının siyasi olmadığını, Penn'in bağışçı veritabanını ele geçirmeyi amaçladığını söyledi.
Bilgisayar korsanları BleepingComputer'a "Aslında politik olarak motive olmasak da, bu nepobaby hizmet veren kurumlara karşı sevgimiz yok" dedi.
"Asıl amaç onların geniş, olağanüstü derecede zengin bağışçı veri tabanıydı."
Bağışçı veritabanı henüz sızdırılmadı ancak tehdit aktörleri veritabanını bir veya iki ay içinde yayınlayabileceklerini iddia ediyor.
Bu iddialarla iletişime geçildiğinde Pennsylvania Üniversitesi BleepingComputer'a "Araştırmaya devam ediyoruz" dedi.
Bu hikayeyi yayınladıktan sonra The Daily Pennsylvanian, Penn'in güvenlik olayını FBI'a ilettiğini bildirdi.
Bir Penn sözcüsü, "Topluluğumuzun endişelerini anlıyor ve paylaşıyoruz ve bunu FBI'ya bildirdik. Bu konuyu olabildiğince hızlı bir şekilde ele almak için kolluk kuvvetleri ve diğer üçüncü taraf teknik kaynaklarla birlikte çalışıyoruz" dedi.
Büyük miktarda bağışçı verisinin açığa çıkması nedeniyle Penn bağışçılarının hedefli kimlik avı veya sosyal mühendislik girişimlerine karşı dikkatli olmaları gerekiyor.
Saldırganlar, çalınan bilgileri üniversitenin kimliğine bürünmek, sahte bağışlar istemek veya çevrimiçi hesaplarını ihlal etmek amacıyla bağışçı kimlik bilgilerine erişim sağlamak için kullanabilir.
Alıcılar, bağışlarla ilgili beklenmedik mesajlara şüpheyle yaklaşmalı ve yanıt vermeden önce meşruiyetlerini doğrudan Penn ile doğrulamalıdır.
MCP (Model Bağlam Protokolü), LLM'leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.
'Hacklendik' e-postaları Pensilvanya Üniversitesi verilerini sızdırmakla tehdit ediyor
Reklam devi Dentsu, yan kuruluşu Merkle'de veri ihlali bildirdi
FinWise veri ihlali, şifrelemenin neden son savunmanız olduğunu gösteriyor
F5, bilgisayar korsanlarının açıklanmayan BIG-IP kusurlarını ve kaynak kodunu çaldığını söyledi
FinWise'ın içeriden sızması 689 bin Amerikalı First Finance müşterisini etkiliyor
Kaynak: Bleeping Computer