L’Université de Pennsylvanie a confirmé mardi qu’un pirate informatique avait volé des données universitaires dans le cadre de la violation de données de la semaine dernière, au cours de laquelle des anciens élèves et d’autres affiliés ont reçu des e-mails suspects provenant d’adresses e-mail officielles de l’université.
«Nous avons été piratés», lit-on dans le message des pirates. « Nous aimons enfreindre les lois fédérales comme la FERPA (toutes vos données seront divulguées) », ajoute le message. « S’il vous plaît, arrêtez de nous donner de l’argent. »
Alors que Penn avait initialement déclaré à TechCrunch que l’e-mail était « frauduleux », l’université a maintenant confirmé l’affirmation du pirate informatique selon laquelle les données avaient été saisies lors de la violation.
« Le 31 octobre, Penn a découvert qu’un groupe sélectionné de systèmes d’information liés au développement de Penn et aux activités des anciens élèves avaient été compromis », a écrit l’université dans un communiqué envoyé par courrier électronique aux anciens élèves et partagé en ligne. « Le personnel de Penn a rapidement verrouillé les systèmes et empêché tout accès non autorisé ; cependant, pas avant qu’un e-mail offensant et frauduleux ait été envoyé à notre communauté et que les informations aient été récupérées par l’attaquant. »
(Divulgation : en tant qu’ancienne élève et ancienne employée de l’université, les pirates ont envoyé le message à ma messagerie personnelle à trois reprises, chacune provenant de différentes adresses e-mail officielles @upenn.edu, dont une provenant d’un membre senior du personnel de Penn.)
L’université a déclaré que la violation s’est produite en raison d’une attaque d’ingénierie sociale, une technique de piratage dans laquelle des individus sont amenés à transmettre des informations sensibles telles que des identifiants de connexion, peut-être par le biais d’un phishing ou d’un appel téléphonique.
Un employé de Penn, dont nous ne sommes pas nommés car ils n’étaient pas autorisés à parler à la presse, a déclaré à TechCrunch que l’université exige que les étudiants, le personnel et les anciens élèves utilisent l’authentification multifacteur (MFA) sur leurs comptes comme mesure de sécurité ; cependant, l’employé a déclaré que certains hauts fonctionnaires avaient bénéficié d’exemptions aux exigences de l’AMF.
TechCrunch a interrogé Penn sur ces prétendues exceptions MFA et si l’université pouvait fournir un pourcentage d’adoption de la MFA parmi le personnel. Le porte-parole de Penn, Ron Ozio, a refusé de commenter TechCrunch au-delà de la page officielle des incidents de données de Penn.
Comme l’exige la loi, Penn a déclaré qu’elle contacterait les personnes dont les informations personnelles ont été accédées par des pirates informatiques. L’université n’a pas précisé quand ces notifications auront lieu, combien de personnes seront concernées ni quelles informations ont été consultées.
Le Daily Pennsylvanian rapporte que le pirate informatique présumé de Penn a affirmé avoir emporté des documents relatifs aux donateurs universitaires, des reçus de transactions bancaires et des informations personnelles identifiables. Le pirate informatique a déclaré qu’ils étaient motivés par des raisons financières.
Plus tôt cette année, des pirates informatiques ont piraté l’Université de Columbia, accédant à des informations sensibles sur environ 870 000 étudiants et candidats, notamment leurs numéros de sécurité sociale et leur statut de citoyenneté.
Les piratages de Penn et de Columbia semblent tous deux motivés par le mécontentement à l’égard des politiques d’action positive. Dans l’e-mail que le hacker de Penn a envoyé à la communauté universitaire, le hacker a écrit : « Nous embauchons et admettons des crétins parce que nous aimons les héritages, les donateurs et l’admission sans réserve de la discrimination positive. » Pendant ce temps, le pirate informatique de Columbia a déclaré à Bloomberg qu’il cherchait à accéder aux données de l’université pour enquêter sur ses pratiques d’action positive.
Si vous avez plus d’informations sur le piratage de Penn, vous pouvez contacter Amanda Silberling en toute sécurité sur Signal à @amanda.100, ou par e-mail, à partir d’un appareil non professionnel.
