A Universidade da Pensilvânia (Penn) anunciou uma nova violação de dados após atacantes roubarem documentos contendo informações pessoais de seus servidores Oracle E-Business Suite em agosto.
A universidade privada de pesquisa da Ivy League foi fundada em 1740 e conta com 5.827 professores e 29.109 alunos, com uma proporção de 8:1 entre estudantes e professores. Também possui um orçamento operacional acadêmico de 4,7 bilhões de dólares e um fundo patrimonial de 24,8 bilhões de dólares em 30 de junho de 2025.
A Universidade da Pensilvânia revelou outra violação no final de outubro de 2025, após um hacker comprometer sistemas internos e dados roubados sobre o desenvolvimento da Penn e as atividades de ex-alunos. O O atacante afirmou Eles exfiltraram informações pessoais pertencentes a cerca de 1,2 milhão de estudantes, ex-alunos e doadores.
Nas últimas semanas, outras universidades da Ivy League foram alvo de uma série de Ataques de phishing por vozcom Universidade de Harvard e Universidade de Princeton também relatou que um hacker invadiu sistemas usados para desenvolvimento e atividades de ex-alunos para roubar informações pessoais de estudantes, ex-alunos, doadores, funcionários e professores.
A violação do Oracle EBS da Penn
Em uma carta de notificação de violação protocolada no escritório do Procurador-Geral do Maine nesta semana, a Penn observou que os atacantes exploraram uma vulnerabilidade de segurança até então desconhecida no aplicativo financeiro Oracle E-Business Suite (EBS) (também conhecido como falha zero-day) para roubar informações pessoais pertencentes a 1.488 indivíduos.
No entanto, o número de pessoas potencialmente impactadas pelo incidente provavelmente é muito maior, já que a escola ainda não divulgou o número exato de pessoas cujos dados foram comprometidos no ataque.
“No decorrer da própria investigação da Penn, descobrimos que alguns dados do Oracle EBS da Penn haviam sido obtidos sem autorização. Em seguida, iniciamos uma revisão detalhada para determinar se alguma informação pessoal estava envolvida e para identificar os indivíduos afetados”, informou a universidade aos afetados pela violação de dados.
“Em 11 de novembro de 2025, a Penn determinou que suas informações pessoais estavam entre as informações obtidas da Oracle EBS.”
Embora os tipos de dados expostos na violação estejam censurados nas cartas de notificação apresentadas, a Penn informou ao OAG do Maine que os agentes ameaçadores roubaram arquivos contendo nomes ou outros identificadores pessoais das pessoas afetadas.
Um porta-voz da Penn forneceu hoje uma declaração ao BleepingComputer, mas não divulgou detalhes sobre os atacantes, os tipos de dados roubados ou o número de pessoas afetadas pela violação de dados.
“A Universidade da Pensilvânia foi uma das quase 100 organizações já identificadas simultaneamente impactadas pelo amplamente explorado incidente do Oracle E-Business Suite, envolvendo uma vulnerabilidade de segurança até então desconhecida no sistema da Oracle. A Penn implementou os patches que a Oracle emitiu para resolver a vulnerabilidade, que não comprometeram nenhum sistema universitário fora do E-Business Suite da Oracle”, foi informado ao BleepingComputer.
“Estamos no processo de notificar diretamente indivíduos cujas informações pessoais estiveram envolvidas de acordo com as leis e regulamentos aplicáveis. Importante destacar que a Penn não encontrou nenhuma evidência de que qualquer uma dessas informações tenha sido ou provavelmente será divulgada publicamente ou usada indevidamente para fins fraudulentos.”
Ataques de roubo de dados Oracle EBS de Clop
Embora a Universidade da Pensilvânia ainda não tenha atribuído a violação, com base nos detalhes compartilhados nas cartas de notificação de violação, o incidente faz parte de uma campanha maior de extorsão em que a gangue de ransomware Clop explorou uma falha zero-day (CVE-2025-61882)roubar arquivos sensíveis das plataformas Oracle EBS de muitas organizações desde então início de agosto de 2025.
Também vale notar que Clop ainda não adicionou a Universidade da Pensilvânia ao seu site de vazamento, sugerindo que a universidade ainda está negociando com o grupo de ameaça ou já pagou um resgate.
Na mesma campanha, Clop também foi alvo Universidade de Harvard, The Washington Post, GlobalLogic, Logiteche A subsidiária da American Airlines, Envoy Air, publicando os dados roubados em seu site de vazamento na dark web e disponibilizando-os para download via Torrent.
No passado, o grupo extorsionador também orquestrou váriosCampanhas de Roubo de Dados do IPLE como alvo Accellion FTA, GoAnywhere MFT, Cleoe Transferência MOVEit clientes, sendo que estes últimos afetaram mais de 2.770 organizações.
O Departamento de Estado dos EUA agora oferece uma recompensa de 10 milhões de dólares a qualquer um que possa fornecer informações ligando os ataques de Clop a um governo estrangeiro.
Atualização 02 de dezembro, 08:13 EST: Declaração adicionada da Universidade da Pensilvânia.
Destrua silos de IAM como Bitpanda, KnowBe4 e PathAI
Um IAM quebrado não é apenas um problema de TI – o impacto se espalha por toda a sua empresa.
Este guia prático aborda por que as práticas tradicionais de IAM não acompanham as demandas modernas, exemplos de como é um “bom” IAM e uma lista simples para construir uma estratégia escalável.