Pennsylvania Üniversitesi (Penn), Ağustos ayında Oracle E-Business Suite sunucularından kişisel bilgilerin çalındığını açıkladıktan sonra yeni bir veri ihlali duyurdu. Bu ihlal, özellikle akademik camiayı sarsacak boyutlardadır ve kurumun güvenlik önlemlerinin ne kadar etkili olduğunu sorgulatmaktadır.
Penn ve İhlalin Boyutu
Penn, 1740 yılında kurulan özel bir Ivy League araştırma üniversitesidir. 5,827 akademik personeli ve 29,109 öğrencisi bulunmaktadır. Üniversite, 4.7 milyar dolarlık bir akademik işletme bütçesine ve 24.8 milyar dolarlık bir bağış fonuna sahiptir. Ekim 2025’te ortaya çıkan bu son ihlal, üniversite tarihindeki önemli güvenlik açıklarını gözler önüne sermektedir.
İhlalin başlangıcında, saldırganlar Penn’in iç sistemlerine sızarak, gelişim ve mezun etkinliklerine dair veri çalmıştır. Bu veri sızıntısının 1.2 milyon öğrenci, mezun ve bağışçıya ait kişisel bilgileri kapsadığı iddia edilmektedir. Yale ve Princeton gibi diğer Ivy League üniversiteleri de benzer sesli kimlik avı saldırılarına maruz kalmıştır.
Oracle E-Business Suite İhlali
Penn, Maine Eyalet Genel Müdürü’ne hitaben verdiği ihlal bildirimi mektubunda, saldırganların Oracle E-Business Suite (EBS) finans uygulamasındaki bilinmeyen bir güvenlik açığını (zero-day flaw) kullanarak 1,488 kişinin kişisel bilgilerini çaldığını belirtmiştir. Ancak, etkilenen gerçek kişi sayısının bu rakamdan çok daha fazla olduğu tahmin edilmektedir.
“Penn’in kendi soruşturması sırasında, Oracle EBS’den bazı verilerin yetkisiz olarak elde edildiğini keşfettik. Kişisel bilgilerin etkileyip etkilemediğini belirlemek için detaylı bir inceleme başlattık,” diyen Penn, ihlalden etkilenen bireylere bunun ardından bilgi vermiştir.
İhal edilen verilerin türlerine tam olarak ulaşılamasa da, bazı kişisel kimlik bilgileri eksiltilerek açıklandığı belirtilmiştir. Penn, ihlal sonrası güvenlik öncelemelerini güncelleyerek Oracle’ın sunduğu yamaları uyguladığını bildirmiştir. Ancak, bu ihlal dışında başka sistemlerin tehlikeye girmediği vurgulanmıştır.
Clop Ransomware Çetesi ve İhlal İlişkisi
Penn, şu an için ihlalin sorumlusunu net bir şekilde belirtmemiştir. Ancak, Clop ransomware çetesinin bu ihlali gerçekleştirdiğine dair bazı kanıtlar bulunmaktadır. Bu grup, zero-day zafiyetinden faydalanarak birçok kuruluşun Oracle EBS platformlarından hassas dosyaları çalmaktadır. Clop, Harvard Üniversitesi ile de benzer saldırılarda bulunmuştur.
Clop, çalınan verileri koyduğu karanlık web sızıntı sitesine eklememesi, üniversitenin tehdit grubu ile müzakere halinde olduğunu veya bir fidye ödemiş olabileceğini düşündürmektedir. ABD Dışişleri Bakanlığı, Clop’un saldırılarını bir yabancı hükümetle ilişkilendirecek bilgi sağlayanlara 10 milyon dolarlık ödül vermektedir.
Sonuç olarak, Pennsylvania Üniversitesi’nin yaşadığı bu veri ihlali, sadece onun için değil, aynı zamanda diğer eğitim kurumları için de önemli bir güvenlik uyarısı olmalıdır. Eğitim kuruluşlarının kişisel verileri koruma sorumluluğu giderek artmakta ve bu tür saldırılar, yeniden düşünmeyi gerektiren bir çağrıdır.
