- ハッカーが盗まれたSSO認証情報を使って大学システムにアクセスし、120万人分の個人データを窃取
- 一部ロックアウト後に攻撃的な大量メール送信、大学は後に侵害が事実であることを認める
- 攻撃は幹部層のMFA(多要素認証)運用の甘さをソーシャルエンジニアリングで突いたもの
最近ペンシルベニア大学のハッカーによってなされた「明らかに偽物」や「詐欺的」とされた主張は、結局のところ「明らかに偽物」や「詐欺的」ではなかったようです。組織はハッカーがシステムからファイルを盗んだことを認めました。
サイバー犯罪者は最近、「完全なアクセス権」を大学職員のPennKey SSOアカウントで取得したと明かしており、それによりVPN、Salesforceデータ、Qlik分析プラットフォーム、SAPビジネスインテリジェンスシステム、SharePointファイルにアクセスできました。このアクセスを使い、約120万人の学生、卒業生、寄付者のデータを盗みました。
盗まれた情報には、氏名、生年月日、住所、電話番号、推定純資産、寄付履歴、人口統計情報(人種、宗教、性的指向など)が含まれているとされています。
攻撃の調査
ネットワークの大部分から締め出された後、残されたアクセス権を使って約70万人に攻撃的なメールを送信しました:
「ペンシルベニア大学は、目覚めたバカどもでいっぱいのクソみたいなエリート主義の機関です。私たちはひどいセキュリティ運用をしており、まったく実力主義ではありません」とメールには書かれていました。
「私たちは遺産、寄付者、そして資格のないアファーマティブ・アクション入学者が大好きなので、バカを雇い入れ、入学させます。FERPAのような連邦法(あなたのデータはすべて漏洩します)やSFFAのような最高裁判決を破るのが大好きです。」
当初、ペンシルベニア大学はこれらのメールを「明らかに偽物」や「詐欺的」と説明していましたが、最近のアップデートでこの主張を撤回しました:
「ペンのスタッフは迅速にシステムをロックダウンし、さらなる不正アクセスを防ぎましたが、攻撃者によって攻撃的かつ詐欺的なメールがコミュニティに送信され、情報が持ち出されました」とアップデートには記載されています。「ペンはこの期間に取得された情報の性質について、現在も調査中です。」
またペンは、攻撃がソーシャルエンジニアリングによって行われたとも述べています。ほとんどの職員は多要素認証(MFA)の利用が義務付けられていますが、TechCrunchによると、一部の幹部はこのステップを省略することが許可されていたとのことです。
