هشدار دانشگاه فونیکس درباره سرقت داده از اوراکل

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت مادر این دانشگاه سه‌شنبه شب اطلاعیه‌ای به کمیسیون بورس و اوراق بهادار آمریکا (SEC) ارسال کرد و گفت «افراد متعددی» مرتبط با این سازمان، در پی نفوذ هکرها به پلتفرم نرم‌افزاری اوراکل ای-بیزنس سوت (Oracle E-Business Suite) یا همان ای بی اس (EBS)، اطلاعاتشان مورد دسترسی قرار گرفته است.

دو هفته پیش، این دانشگاه خصوصی و غیرانتفاعی در سایت افشاگر یک گروه باج‌گیر روسی مشهور فهرست شد؛ گروهی که ظاهراً ده‌ها سازمان از جمله دانشگاه هاروارد، کالج دارتموث و دانشگاه پنسیلوانیا را از طریق یک آسیب‌پذیری در پلتفرم اوراکل هدف قرار داده است.

در آن زمان، سخنگوی دانشگاه فونیکس به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفته بود که این حادثه در دست بررسی است.

طبق پرونده ثبت‌شده در کمیسیون بورس و اوراق بهادار آمریکا در روز سه‌شنبه، دانشگاه اعلام کرد که حادثه را در ۲۱ نوامبر شناسایی کرده و متوجه شده است که هکرها از ماه اوت به سیستم‌ها نفوذ کرده‌اند و به نام‌ها، اطلاعات تماس، تاریخ تولد، شماره تأمین اجتماعی، و شماره حساب و شماره مسیریابی بانکی تعداد نامشخصی افراد دسترسی یافته‌اند.

دانشگاه افشا کرد:

این شرکت یکی از چندین سازمان — از جمله سایر مؤسسات دانشگاهی — است که یک طرف ثالث غیرمجاز با سوءاستفاده از یک آسیب‌پذیری ناشناخته در نرم‌افزار ای بی اس اوراکل از آن‌ها داده استخراج کرده است.

با وجود پست‌های منتشرشده توسط مجرمان سایبری مسئول این حمله، دانشگاه فونیکس گفت که هکرها «اطلاعات را به‌صورت عمومی منتشر نکرده‌اند».

دانشگاه به درخواست‌ها درباره اینکه چه تعداد افراد تحت تأثیر قرار گرفته‌اند پاسخ نداد.

دانشگاه اعلام کرد این حادثه تأثیر قابل‌توجهی بر عملیات تجاری نخواهد داشت، زیرا شرکت مادر، شرکا آموزشی فونیکس (Phoenix Education Partners, Inc.)، بیمه امنیت سایبری دارد که هزینه‌های پاسخ به حادثه، تحقیقات و اقدامات اصلاحی را پوشش می‌دهد.

پرونده دانشگاه فونیکس یک روز پس از آن ارائه شد که دانشگاه پنسیلوانیا نیز به نهادهای ناظر در چندین ایالت اطلاع داد که از طریق همان آسیب‌پذیری در نرم‌افزار اوراکل دچار نقض داده شده است.

دانشگاه عنوان نکرد که چه تعداد افراد تحت تأثیر قرار گرفته‌اند، اما توضیح داد که از ای بی اس اوراکل برای «پردازش پرداخت‌های تأمین‌کنندگان، بازپرداخت‌ها، ثبت‌های دفتر کل و انجام سایر امور دانشگاهی» استفاده می‌کند.

دانشگاه نوع اطلاعات سرقت‌شده را در اطلاعیه‌های سرقت داده که به ایالات کالیفرنیا، ماساچوست، ورمونت و مِین ارسال شده بود، حذف کرد.

به قربانیان دو سال خدمات حفاظت از هویت ارائه شده است.

دانشگاه پنسیلوانیا اعلام کرد که اکنون با «یک تحقیق فدرال در جریان» درباره حملات ای بی اس اوراکل همکاری می‌کند.

اف بی آی (FBI) و وزارت دادگستری به درخواست‌ها درباره احتمال انجام تحقیقات در مورد این رشته حملات پاسخ ندادند.

گروه اخاذی کلوپ (Clop) مدعی شده است که از طریق این باگ ناشناخته در ای بی اس اوراکل اطلاعات صدها شرکت را سرقت کرده است.

این گروه طی شش سال گذشته با هدف قرار دادن مکرر آسیب‌پذیری‌ها در نرم‌افزارهای انتقال فایل، میلیون‌ها دلار به دست آورده است.

کارل فراگت، مدیر ارشد اطلاعات شرکت امنیت سایبری دیپ اینستینکت (Deep Instinct)، اشاره کرد که دانشگاه‌هایی مانند فونیکس، پنسیلوانیا، هاروارد و دارتموث بر اکوسیستم‌های گسترده‌ای از پلتفرم‌های شخص ثالث متکی هستند.

او بیان کرد:

مؤسسات آموزش عالی هرگز برای عمل‌کردن به‌عنوان یک عملیات کامل دفاع سایبری ساخته نشده بودند، اما از آن‌ها انتظار می‌رود از تحقیقات، دانشجویان، کارکنان و داده‌های عملیاتی در برابر تهدیدهای شناخته‌شده و ناشناخته محافظت کنند. سطح حمله دیگر فقط محیط خودتان نیست؛ بلکه هر محیطی است که به آن وابسته‌اید.