Hackeři odhalili osobní údaje studentů, fakulty, absolventů a dárců.
Foto ilustrace Justin Morrison/Inside Higher Ed | Jumping Rocks/Universal Images Group/Getty Images | aimintang a matejmo/iStock/Getty Images
Řada nedávných úniků dat ukazuje, proč jsou bohaté a vysoce postavené instituce vysokoškolského vzdělávání obzvláště zranitelné vůči stále sofistikovanějším kybernetickým útokům.
Minulý týden, hackeři prolomil databázi spravované kanceláří pro rozvoj Princetonské univerzity obsahující informace o absolventech, dárcích, některých fakultách, studentech a rodičích. Před dvěma týdny, hackeři ukradli podobné záznamy z University of Pennsylvania. Tyto útoky následovaly na začátku tohoto roku po jiných na Kolumbijské univerzitě, která odhalila údaje o 870 000 lidechvčetně studentů a uchazečů – a New York Universitykterý kompromitoval osobní údaje asi tří milionů lidí, kteří se na univerzitu od roku 1989 hlásili.
Zatímco bohaté, selektivní univerzity nejsou zdaleka jedinými typy institucí, které se stávají obětí kybernetických útoků, odborníci tvrdí, že jejich pověst, zdroje a výzkumné profily z nich činí obzvláště atraktivní cíle. Aby se instituce ochránily, měly by investovat do IT personálu a systémů a vzdělávat studenty a zaměstnance o potenciálních hrozbách.
„Pokud se chci vloupat do banky, vloupu se do té největší, kterou najdu,“ řekl Doug Thompson, hlavní architekt pro vzdělávání a ředitel řešení inženýrství Tanium, společnosti pro správu kybernetické bezpečnosti. „Jsou na to zralí, protože jsou tak velcí a mají tolik peněz. Pokud se hacker pokusí hacknout univerzitu, pokusí se získat za své peníze co nejvíce.“
Kromě získávání tranší osobních identifikačních údajů, které lze prodat na černém trhu, otevírá seznam dobře vybavených dárců univerzity ještě více příležitostí pro budoucí podvody. „Nyní mají hackeři spoustu soukromých cílů,“ řekl Thompson. „Mají jména lidí, kteří mají dost peněz, aby darovali těmto institucím.“
Peníze ale nejsou jedinou motivací. Vzhledem k tomu, že Ivy League a další elitní instituce se staly tváří širších politických útoků na vysokoškolské vzdělání, je pravděpodobnější, že přilákají takzvané hacktivisty.
„V současném politickém klimatu akademické instituce a jejich zaměstnanci přitahují hněv ze všech druhů okrajových skupin, demonstrantů a subjektů, které by mohlo něco, co říkají nebo dělají, popudit a zahájit tyto typy útoků,“ řekl Brent Riley, viceprezident digitální forenzní analýzy a reakce na incidenty severoamerické divize Cyxcel, poradenské firmy pro digitální rizika.
Kromě krádeže cenných dat se hackeři v Pennu chlubili svou prací vulgární, podvodný hromadný e-mail odesláno z e-mailové adresy upenn.edu univerzitní komunitě. E-mail označoval Penna jako „elitářskou“, „probuzenou“ a „nemeritokratickou“ instituci s „příšernými bezpečnostními praktikami“, která si najímá a připouští „blbce, protože milujeme dědictví, dárce a přiznáváme nekvalifikované pozitivní akce“.
„Milujeme porušování federálních zákonů, jako je FERPA (všechna vaše data uniknou) a rozhodnutí Nejvyššího soudu jako (Students for Fair Admissions v. Harvard),“ stálo v e-mailu. „Prosím, přestaňte nám dávat peníze.“ Podobně hackeři z Kolumbie a NYU připisují svou motivaci získávání údajů o zápisech, aby ukázali svůj údajný odpor proti rozhodnutí Nejvyššího soudu z roku 2023 v SFFA, že přiznání rasového vědomí je protiústavní.
Špičkový výzkum, který provádějí bohaté univerzity, je také činí zranitelnějšími vůči kybernetickým útokům z jiných zemí.
„Zaměří se na instituce, aby ukradly výzkumná data, aby nemusely utrácet peníze za jejich vlastní produkci,“ řekl Riley. „Každá univerzita, která provádí výzkum v oblasti armády, farmacie nebo výroby, je vysoce hodnotným cílem pro aktéry hrozeb z jiných zemí, kde vláda zaměstnává hackery ke krádeži obchodních tajemství a patentovatelných informací.“
Všechny tyto rizikové faktory kybernetické bezpečnosti specifické pro elitní instituce jsou navíc k provoznímu nastavení, které činí téměř všechny vysoké školy a univerzity zranitelnými vůči kybernetickým útokům, které jsou v době generativní umělé inteligence stále sofistikovanější.
„Vzdělávání je tak snadným cílem pro aktéry hrozeb,“ řekl Riley, „většinou kvůli nutnosti, aby na síti bylo tolik nenáročných uživatelů.“
Ačkoli žaloba podaná skupinou absolventů Penn začátkem tohoto měsíce tvrdí, že nedávný hack byl výsledkem „nedbalosti a nedostatečného zabezpečení dat univerzity“, řekl Riley, že hackeři mohou stále prolomit některé z nejsofistikovanějších systémů kybernetické bezpečnosti.
Částečně je to proto, že porušení na Penn a dalších univerzitách bylo dosaženo pomocí taktiky známé jako sociální inženýrství, ve které hacker používá falešné záminky, aby přesvědčil zaměstnance, aby jim umožnil přístup k citlivým informacím.
„Nejlepší index bezpečnostní obrany na světě nedokáže obejít lidský prvek, který je zranitelný vůči chybám, uchovává data někde tam, kde by neměla být, umožňoval aktérovi hrozby ukrást jejich heslo a nechal se oklamat, aby poskytl vícefaktorovou identifikaci, nebo je přesvědčí, aby umožnili přístup ke sdílení souborů,“ řekl Riley.
A s příchodem generativní umělé inteligence je odhalování těchto lstí mnohem těžší.
„Dříve jsme trénovali lidi, aby odhalili potenciální útok sociálního inženýrství hledáním špatné gramatiky nebo chybně napsaných slov,“ řekl Riley. „To je nyní téměř úplně pryč s generativní AI, která generuje sociální inženýrské e-maily nebo komunikaci založenou na místních komunikačních stylech.“
