पेंसिल्वेनिया विश्वविद्यालय ने मंगलवार को पुष्टि की कि हैकर्स ने पिछले सप्ताह के साइबर हमले के दौरान सफलतापूर्वक विश्वविद्यालय डेटा चुरा लिया, जो पहले के दावों का खंडन करता है कि पूर्व छात्रों को भेजे गए संदिग्ध ईमेल केवल “धोखाधड़ी” थे। यह उल्लंघन, जो 31 अक्टूबर को एक सोशल इंजीनियरिंग हमले के माध्यम से हुआ, ने कर्मचारियों द्वारा समझौता किए गए खातों को बंद करने से पहले विकास और पूर्व छात्र प्रणालियों से संवेदनशील जानकारी को उजागर कर दिया।
पेंसिल्वेनिया विश्वविद्यालय हैकर्स ने जो दावा किया था, उसे स्वीकार कर लिया – उन्होंने सिर्फ आपत्तिजनक ईमेल ही नहीं भेजे, उन्होंने वास्तव में विश्वविद्यालय का डेटा चुराया। यह पुष्टि तब हुई जब पेन ने शुरू में 31 अक्टूबर की घटना को केवल “कपटपूर्ण” संदेश के रूप में खारिज कर दिया, लेकिन आंतरिक दबाव और सबूतों ने अधिक ईमानदार गणना को मजबूर कर दिया।
हजारों पूर्व छात्रों और सहयोगियों को भेजे गए संदेशों में हैकरों ने अपने उल्लंघन को स्पष्ट रूप से स्पष्ट कर दिया। तंज भरे ईमेल में कहा गया, “हमें हैक कर लिया गया है।” इसमें कहा गया है, “हमें एफईआरपीए (आपका सारा डेटा लीक हो जाएगा) जैसे संघीय कानूनों को तोड़ना पसंद है। कृपया हमें पैसे देना बंद करें।” जो किशोर ट्रोलिंग जैसा लग रहा था वह वास्तव में एक सफल डेटा डकैती के बाद एक जीत की गोद थी।
समुदाय के लिए पेन के मंगलवार के बयान ने उनकी प्रारंभिक प्रतिक्रिया की तुलना में एक अलग तस्वीर पेश की टेकक्रंच. विश्वविद्यालय ने अंततः स्वीकार किया, “पेन को पता चला कि पेन के विकास और पूर्व छात्रों की गतिविधियों से संबंधित सूचना प्रणालियों के एक चुनिंदा समूह के साथ समझौता किया गया था।” “पेन के कर्मचारियों ने तेजी से सिस्टम को लॉक कर दिया और आगे की अनधिकृत पहुंच को रोक दिया; हालांकि, इससे पहले कि हमारे समुदाय को एक आक्रामक और धोखाधड़ी वाला ईमेल भेजा गया और हमलावर द्वारा जानकारी ले ली गई।”
उल्लंघन विधि से अमेरिका के सबसे प्रतिष्ठित विश्वविद्यालयों में से एक में सुरक्षा संबंधी कमियों का पता चलता है। पेन ने पुष्टि की कि हमला सोशल इंजीनियरिंग के माध्यम से सफल हुआ – हैकर्स ने कर्मचारियों को लॉगिन क्रेडेंशियल सौंपने के लिए धोखा दिया, संभवतः परिष्कृत फ़िशिंग या आईटी कर्मचारियों का रूप धारण करने वाले फोन कॉल के माध्यम से।
लेकिन यहीं पर यह अधिक परेशान करने वाला हो जाता है। पेन के एक कर्मचारी ने बताया टेकक्रंच जबकि विश्वविद्यालय को अधिकांश उपयोगकर्ताओं के लिए बहु-कारक प्रमाणीकरण की आवश्यकता होती है, “कुछ उच्च-रैंकिंग अधिकारियों को एमएफए आवश्यकताओं से छूट दी गई थी।” जब इन सुरक्षा अपवादों के बारे में विवरण के लिए दबाव डाला गया, तो पेन के प्रवक्ता रॉन ओज़ियो ने अपने आधिकारिक घटना पृष्ठ से परे टिप्पणी करने से इनकार कर दिया।
चुराए गए डेटा का दायरा अस्पष्ट बना हुआ है, लेकिन शुरुआती रिपोर्टों से पता चलता है कि यह व्यापक है। द डेली पेनसिल्वेनियाई रिपोर्ट में हैकर ने दाता दस्तावेजों, बैंक लेनदेन रसीदों और व्यक्तिगत रूप से पहचान योग्य जानकारी तक पहुंचने का दावा किया है। पेन ने यह नहीं बताया है कि कितने लोग प्रभावित हैं या कानून के मुताबिक वे पीड़ितों को कब सूचित करेंगे।
