Kötü şöhretli siber suç grubu ShinyHunters, Harvard Üniversitesi ve Pennsylvania Üniversitesi'ndeki (UPenn) geçen yılki veri ihlallerinin sorumluluğunu üstlenerek, her bir kurumdan bir milyondan fazla kaydı şantaj web sitesinde yayımladığını iddia etti. Grup, verilerin üniversitelerin fidye ödemeyi reddetmesinin ardından serbest bırakıldığını belirtti.
Çarşamba günü ShinyHunters, çalınan bilgileri, çetenin kurbanları ödeme yapmaya zorlamak için kullandığı özel sızıntı sitesinde kamuya açık hale getirdi. Yayımlanan verilerin, her iki üniversitenin mezunları ve bağış toplama faaliyetleriyle ilgili hassas kişisel bilgileri içerdiği bildirildi.
UPenn, Kasım ayında "Penn'in geliştirme ve mezun faaliyetleriyle ilgili belirli bir bilgi sistemleri grubunu" etkileyen bir veri ihlalini doğruladı. O dönemde, bilgisayar korsanları, ihlali duyurmak için resmi üniversite adreslerinden mezunlara e-postalar bile göndermişti. Üniversite, ihlali, saldırganların bireyleri gizli bilgileri ifşa etmeye veya normalde yapmayacakları eylemleri gerçekleştirmeye manipüle ettiği bir taktik olan sosyal mühendisliğe bağladı. O zamandan beri çevrimdışı olan resmi ihlal açıklama web sayfasında, UPenn çalınan verinin tam türünü belirtmeyerek, siber suçluların "Penn'in geliştirme ve mezun faaliyetleriyle ilgili sistemlere" eriştiğini belirtmekle yetindi. TechCrunch, veri setinin bir kısmını mezunlarla ve öğrenci kimlik numaralarıyla eşleştirme gibi kamu kayıtlarıyla doğrulayarak teyit etti.
Kasım ayının ilerleyen günlerinde Harvard Üniversitesi de mezun sistemlerinde bir ihlal olduğunu kabul etti. Harvard, olayın bir sesli oltalama (phishing) saldırısından kaynaklandığını belirtti; bu, bilgisayar korsanlarının hedefleri kötü amaçlı bağlantılara tıklamaya veya ekleri açmaya kandırmak için sesli aramalar kullandığı anlamına geliyor. Üniversite, ele geçirilen verilerin e-posta adresleri, telefon numaraları, ev ve iş adresleri, etkinlik katılım kayıtları, üniversiteye yapılan bağışların detayları ve bağış toplama ile mezun katılım çabalarıyla ilgili diğer biyografik bilgileri içerdiğini açıkladı.
TechCrunch'ın incelediği ShinyHunters tarafından yayımlanan veriler, her iki üniversitenin daha önce çalındığını doğruladığı bilgi türüyle eşleşiyor gibi görünüyor. ShinyHunters gibi siber suçlular genellikle bu taktiği kullanır: çalınan verilerin yayımlanmasını engellemek için ödeme talep eder ve fidye karşılanmazsa çevrimiçi olarak yayımlar.
UPenn ihlali sırasında, bilgisayar korsanları başlangıçta siyasi motivasyonlar gibi görünen bir durum sergiledi ve mezunlara gönderilen bir e-postada olumlu ayrımcılık politikalarından duydukları memnuniyetsizliği dile getirdi. Mesajda şunlar yazıyordu:
"Mirasçıları, bağışçıları ve niteliksiz olumlu ayrımcılık kabullerini sevdiğimiz için aptalları işe alıyor ve kabul ediyoruz."
Ancak ShinyHunters genellikle siyasi motivasyonlarıyla bilinmez ve grup, bu özel dil hakkındaki sorulara yanıt vermedi.
Penn sözcüsü Ron Ozio, TechCrunch'a üniversitenin "verileri analiz ettiğini ve geçerli gizlilik düzenlemeleri gerektiriyorsa ilgili kişileri bilgilendireceğini" bildirdi. Harvard Üniversitesi, kendisiyle iletişime geçildiğinde yorum yapmadı.
