University of Pennsylvania mengkonfirmasi pada hari Selasa bahwa seorang peretas mencuri data universitas sebagai bagian dari pelanggaran data minggu lalu, di mana alumni dan afiliasi lainnya menerima email mencurigakan dari alamat email resmi universitas.
“Kami diretas,” bunyi pesan dari para peretas. “Kami senang melanggar undang-undang federal seperti FERPA (semua data Anda akan bocor),” tambah pesan itu. “Tolong berhenti memberi kami uang.”
Meskipun Penn awalnya mengatakan kepada TechCrunch bahwa email tersebut adalah “penipuan,” universitas tersebut kini telah mengkonfirmasi klaim peretas bahwa data diambil selama pelanggaran tersebut.
“Pada tanggal 31 Oktober, Penn menemukan bahwa sekelompok sistem informasi tertentu yang terkait dengan pengembangan Penn dan aktivitas alumni telah disusupi,” tulis universitas tersebut dalam sebuah pernyataan, yang dikirim melalui email ke alumni dan dibagikan secara daring. “Staf Penn dengan cepat mengunci sistem dan mencegah akses tidak sah lebih lanjut; namun, email yang menyinggung dan menipu dikirim ke komunitas kami dan informasinya diambil oleh penyerang.”
(Pengungkapan: Sebagai alumni dan mantan pegawai universitas, para peretas mengirimkan pesan ke email pribadi saya sebanyak tiga kali, masing-masing berasal dari pejabat yang berbeda. @upenn.edu alamat email, termasuk salah satu dari anggota staf senior Penn.)
Universitas tersebut mengatakan bahwa pelanggaran tersebut terjadi karena serangan rekayasa sosial, sebuah teknik peretasan di mana individu ditipu untuk menyerahkan informasi sensitif seperti kredensial login, mungkin melalui phishing atau panggilan telepon.
Seorang karyawan Penn, yang tidak kami sebutkan namanya karena mereka tidak berwenang untuk berbicara kepada pers, mengatakan kepada TechCrunch bahwa universitas mewajibkan mahasiswa, staf, dan alumni untuk menggunakan otentikasi multi-faktor (MFA) di akun mereka sebagai tindakan pengamanan; namun, karyawan tersebut mengatakan bahwa beberapa pejabat tinggi diberikan pengecualian terhadap persyaratan MFA.
TechCrunch bertanya kepada Penn tentang dugaan pengecualian MFA ini dan apakah universitas dapat memberikan persentase adopsi MFA di antara stafnya. Juru bicara Penn Ron Ozio menolak berkomentar kepada TechCrunch selain Penn halaman data insiden resmi.
Sebagaimana diwajibkan oleh hukum, Penn mengatakan akan menghubungi individu yang informasi pribadinya diakses oleh peretas. Universitas belum mengatakan kapan pemberitahuan ini akan muncul, berapa banyak orang yang terkena dampaknya, atau informasi apa yang diakses.
Harian Pennsylvania melaporkan bahwa tersangka peretas Penn mengaku telah mengambil dokumen yang berkaitan dengan donatur universitas, kuitansi transaksi bank, dan informasi identitas pribadi. Peretas mengatakan mereka termotivasi secara finansial.
Awal tahun ini, peretas membobol Universitas Columbia, mengakses informasi sensitif tentang sekitar 870.000 siswa dan pelamartermasuk nomor Jaminan Sosial dan status kewarganegaraan mereka.
Baik peretasan di Penn maupun Columbia tampaknya dimotivasi oleh ketidakpuasan terhadap kebijakan tindakan afirmatif. Dalam email yang dikirim oleh peretas Penn ke komunitas universitas, peretas tersebut menulis, “Kami mempekerjakan dan menerima orang bodoh karena kami menyukai warisan, donor, dan tindakan afirmatif yang tidak memenuhi syarat mengakuinya.” Sementara itu, peretas Columbia kata Bloomberg bahwa mereka berupaya mengakses data dari universitas untuk menyelidiki praktik tindakan afirmatifnya.
Jika Anda memiliki informasi lebih lanjut tentang peretasan Penn, Anda dapat menghubungi Amanda Silberling dengan aman di Signal di @amanda.100, atau melalui email, dari perangkat non-kerja.
