Cyberprzestępca przyznał się do włamania na stronę internetową Uniwersytetu Nowojorskiego i opublikowania wyników testów SAT, ACT i GPA studentów z 2024 r. Rzekomym celem hakera było „ujawnienie” nielegalnych praktyk rekrutacyjnych na Uniwersytecie Nowojorskim, lecz w ten sposób ujawnił dane osobowe ponad 3 milionów kandydatów.
Wyciek danych z Uniwersytetu Nowojorskiego
Strona Steinhardt School of Culture, Education, and Human Development na Uniwersytecie Nowojorskim została naruszona. Według raportu użytkownika Reddita odwiedzający otrzymywali listę nazwisk studentów i ich wyników w nauce. Haker przyznał się do odpowiedzialności na X, gdzie również powiedział, że jest odpowiedzialny za atak na University of Minnesota, który miał miejsce kilka lat temu.
„Dziękuję przyjacielu. Ja również zrobiłem to samo z University of Minnesota kilka lat temu. Jest o wiele więcej danych z ich serwerów, które można by dalej analizować, opublikowałem tylko absolutne minimum, aby udowodnić, że łamią prawo” – czytamy w oświadczeniu cyberprzestępcy.
Reakcja władz uczelni
Uniwersytet Nowojorski usunął już tę stronę i wydał oświadczenie, w którym potwierdził naruszenie.
„Uniwersytet aktywnie bada incydent i współpracuje z odpowiednimi władzami w celu ustalenia pełnego zakresu naruszenia” – powiedział rzecznik NYU w rozmowie z Washington Square News.
Hakerzy nie potrzebowali wiele
Według oświadczeń hakera, naruszenie nie wymagało zaawansowanych technik. Zamiast tego, w atakach wykorzystano istniejące luki w systemie zarządzania treścią uniwersytetu, które rzekomo nie zostały załatane.
NYU twierdzi, że włamanie obejmuje znacznie więcej informacji niż te, które zostały wyświetlone, w tym nazwiska kandydatów, wyniki testów, kierunki studiów i kody pocztowe. Dane dotyczące pomocy finansowej dla studentów i członków rodzin również zostały naruszone.
NYU zaczął powiadamiać studentów dotkniętych wyciekiem danych i wzmocnił swoje wewnętrzne systemy bezpieczeństwa. Publikacja dokumentacji akademickiej — uważanej za chronioną informację edukacyjną na mocy FERPA (Family Educational Rights and Privacy Act) — może mieć nieznane konsekwencje dla studentów.
Nie jest jeszcze jasne, czy władze prowadzą dochodzenie w sprawie incydentu cyberbezpieczeństwa. Tymczasem studenci i wykładowcy wzywają uniwersytet do przeprowadzenia kompleksowego audytu infrastruktury IT.
– Placówki edukacyjne są atrakcyjnym celem dla cyberprzestępców, ponieważ gromadzą wiele krytycznych danych, które mogą zostać wykorzystane do przeprowadzania spersonalizowanych kampanii phishingowych. Dlatego to niezwykle ważne, aby szkoły i uniwersytety nie tylko zabezpieczały się za pomocą skutecznego systemu antywirusowego, lecz także zadbały o odpowiednią edukację swojego personelu z zakresu cyberbezpieczeństwa – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.