Üniversite Veri İhlali: University of Phoenix Olayı
Clop fidye yazılım çetesi, University of Phoenix’in (UoPX) ağını Ağustos ayında ihlal ederek yaklaşık 3.5 milyon öğrenci, personel ve tedarikçinin verilerini çaldı. Phoenix, Arizona’da 1976 yılında kurulan özel bir üniversite olan UoPX, 100,000’den fazla öğrenci ve 3,000’e yakın akademik kadro ile eğitim vermektedir.
İhlalin Detayları
Üniversite, olayın detaylarını resmi web sitesinde Aralık ayının başında duyurdu. Phoenix Education Partners, üniversitenin ana şirketi, ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) bir 8-K formu sundu. UoPX, ihlali 21 Kasım’da tespit etti; bu tarih, Clop’un verilerini sızdırdığı tarih olarak kayıtlara geçti.
İhlalin nedeni olarak, Oracle E-Business Suite (EBS) finans uygulamasındaki bir sıfır günden (zero-day) yararlanıldığı belirtiliyor. Bu yazılım açığı, saldırganların personel, tedarikçiler ve eski ve mevcut öğrencilerin hassas kişisel ve finansal bilgilerine erişmesine olanak tanıdı. UoPX, “Yetkisiz bir üçüncü tarafın, o dönemdeki mevcut ve eski öğrencilerin, çalışanların, öğretim üyelerinin ve tedarikçilerin kimlik bilgilerine eriştiğini düşünüyoruz” açıklamasını yaptı.
Açık Veriler ve Hesap Koruma Önlemleri
İhlal sonucunda etkilenenlerin sayısı 3,489,274 olarak belirlendi. Üniversite, bu olaydan etkilenen bireylere bildirimlerde bulundu. UoPX, aynı zamanda, etkilenen bireylere yönelik ücretsiz kimlik koruma hizmetleri sunmayı taahhüt etti. Bu hizmetler arasında 1 milyon dolarlık dolandırıcılık geri ödeme politikası, 12 ay boyunca kredi izleme, kimlik hırsızlığı kurtarma ve karanlık ağ izleme gibi seçenekler yer alıyor.
Clop Çetesi ve Diğer Hedefler
Clop çetesi, bu ihlali daha geniş bir fidye kampanyasının parçası olarak gerçekleştirdi. Daha önce, aynı yazılım açığını kullanarak Harvard Üniversitesi ve Pennsylvania Üniversitesi gibi diğer ABD üniversitelerini de hedef aldı. Bu bağlamda, Clop’un hedef aldığı diğer kuruluşlar arasında GoAnywhere MFT, Accellion FTA ve MOVEit Transfer gibi platformlar da bulunuyor.
Ayrıca, ABD Dışişleri Bakanlığı, bu siber suç çetesinin saldırılarını bir yabancı hükümetle ilişkilendirecek bilgi sağlayanlara 10 milyon dolarlık ödül teklifinde bulundu. Ekim ayının sonundan itibaren, Harvard, Pennsylvania ve Princeton gibi diğer üniversiteler, sesli dolandırıcılık (voice phishing) saldırıları sonucunda ihlallere maruz kaldıklarını bildirdi.
Sonuç ve Öneriler
Bu olay, siber güvenliğin giderek daha önemli bir konu haline geldiğini gösteriyor. Uzun vadede, eğitim kurumlarının siber güvenlik protokollerini güçlendirmeleri ve veri koruma stratejilerini gözden geçirmeleri gerekmektedir. Öğrencilerin ve personelin korunması, bu tür olayların tekrar yaşanmaması için kritik öneme sahiptir.
