Un hacker ha asumido la responsabilidad del incidente de correo electrónico «Nos piratearon» de la Universidad de Pensilvania la semana pasada, diciendo que fue una violación mucho más extensa que expuso datos de 1,2 millones de donantes y documentos internos.
El viernes, exalumnos y estudiantes de la Universidad de Pensilvania comenzaron a recibir múltiples correos electrónicos ofensivos de direcciones de Penn.edu. afirmando que la universidad había sido pirateada y datos robados.
«La Universidad de Pensilvania es una institución elitista y llena de retrasados mentales. Tenemos prácticas de seguridad terribles y no somos nada meritocráticos», se lee en el correo electrónico enviado a los ex alumnos y estudiantes de Penn.
«Contratamos y admitimos imbéciles porque amamos los legados, los donantes y la acción afirmativa incondicional. Nos encanta violar leyes federales como FERPA (todos sus datos se filtrarán) y fallos de la Corte Suprema como SFFA».
BleepingComputer confirmó que los correos electrónicos se originaron en connect.upenn.edu, una plataforma de listas de correo de Penn alojada en Salesforce Marketing Cloud. La universidad restó importancia al incidente y describió los mensajes como «correos electrónicos fraudulentos» que eran «obviamente falsos».
Sin embargo, el actor de amenazas detrás del ataque se puso en contacto con BleepingComputer, alegando que la intrusión era mucho más amplia y que habían obtenido acceso a múltiples sistemas universitarios.
El hacker dijo que su grupo «obtuvo acceso completo» a la cuenta SSO de PennKey de un empleado, lo que permitió el acceso a la VPN de Penn, a los datos de Salesforce, a la plataforma de análisis Qlik, al sistema de inteligencia empresarial de SAP y a los archivos de SharePoint.
Dijeron que extrajeron datos de aproximadamente 1,2 millones de estudiantes, ex alumnos y donantes, incluidos nombres, fechas de nacimiento, direcciones, números de teléfono, patrimonio neto estimado, historial de donaciones y detalles demográficos como religión, raza y orientación sexual.
Los actores de amenazas compartieron capturas de pantalla y muestras de datos con BleepingComputer y las publicaron en línea para demostrar que efectivamente habían accedido a estos sistemas y habían robado datos de Penn.
Los atacantes le dijeron a BleepingComputer que violaron los sistemas de Penn el 30 de octubre y completaron las descargas de datos antes del 31 de octubre, cuando la cuenta del empleado comprometida fue bloqueada y se perdió el acceso.
Después de descubrir que su acceso había sido revocado, el hacker dijo que todavía tenía acceso a Salesforce Marketing Cloud y lo utilizó para enviar el correo electrónico masivo ofensivo a aproximadamente 700.000 destinatarios.
Cuando se le preguntó si las credenciales fueron robadas mediante un robo de información o phishing, el hacker se negó a dar más detalles, diciendo que la intrusión fue simple y causada por fallas de seguridad de Penn.
Desde entonces, el hacker ha publicado un archivo de 1,7 GB que contiene hojas de cálculo, materiales de donación y otros archivos supuestamente tomados de los sistemas SharePoint y Box de Penn.
El atacante le dijo a BleepingComputer que no estaban extorsionando a la universidad y dijo: «No creemos que pagarían y nosotros mismos podemos extraer mucho valor de los datos».
Cuando se les preguntó sobre su motivación, los piratas informáticos dijeron que el ataque no era político sino que tenía como objetivo obtener la base de datos de donantes de Penn.
«Si bien no estamos realmente motivados políticamente, no amamos estas instituciones que sirven a nepobaby», dijeron los piratas informáticos a BleepingComputer.
«El objetivo principal era su enorme y maravillosamente rica base de datos de donantes».
La base de datos de donantes aún no se ha filtrado, aunque los actores de amenazas afirman que podrían publicarla en uno o dos meses.
Cuando se contactó con estas afirmaciones, la Universidad de Pensilvania le dijo a BleepingComputer: «Continuamos investigando».
Qué deberían hacer los donantes de Penn
Con una gran cantidad de datos de donantes ahora expuestos, los donantes de Penn deben mantenerse atentos a los intentos de phishing o ingeniería social dirigidos.
Los atacantes podrían utilizar la información robada para hacerse pasar por la universidad, solicitar donaciones fraudulentas u obtener acceso a las credenciales de los donantes para violar sus cuentas en línea.
Los destinatarios deben tratar los mensajes inesperados sobre donaciones con sospecha y verificar su legitimidad directamente con Penn antes de responder.
A medida que MCP (Protocolo de contexto modelo) se convierte en el estándar para conectar los LLM a herramientas y datos, los equipos de seguridad se están moviendo rápidamente para mantener seguros estos nuevos servicios.
Esta hoja de trucos gratuita describe 7 mejores prácticas que puede comenzar a utilizar hoy.
