概要
ペンシルベニア大学が大規模なデータ侵害に見舞われ、ハッカーを名乗る人物が約120万行のデータが流出し、公開前に売却する計画だと主張しています。大学は現在、この侵害について調査を進めており、FBIに報告済みです。
ハッカーの主張と動機
ハッカーは、今回の攻撃の主な動機は金銭であり、「裕福な寄付者データベース」の入手が目的だったと説明しています。以前のコロンビア大学などへのハッキングが「反DEI(多様性、公平性、包摂性)」を目的としていたのとは異なると強調しました。「私たちはレガシー、寄付者、資格のないアファーマティブ・アクションの入学者を愛しているから、愚か者を雇い、入学させている」というメールは、データ流出後に「楽しい暴言」として送られたもので、主要な目的ではなかったと主張しています。
ペンシルベニア大学を選んだ理由については、「かなり脆弱な認証システム」を持つ「簡単な標的」だったためと述べています。
流出したデータの内容
流出したデータには、以下のような個人情報が含まれるとされています:
- 寄付者のメールアドレス
- 電話番号
- 住所
- 最終寄付日
- 宗教
- その他の個人情報
また、元学長リズ・マギルの議会証言に関する大学の内部資料など、内部文書も含まれているとのことです。データは「非常に古いもの」まで遡り、1920年代の生年月日や故人の情報も含まれているとハッカーは述べています。特に「超富裕層(UHNWIs)」に関する大量のデータを狙っていたとされ、元大統領ジョー・バイデン氏とその家族のデータも含まれていると主張されています。
セキュリティ専門家の見解
DataBreach.comのCEOであるザック・ガノット氏は、「サンプルは疑いの余地を残さない。これはメールのなりすましではない」とコメントしています。流出したデータは「内部の機密性の高いペンシルベニア大学の資料への本物のアクセス」を反映していると指摘し、最近作成されたファイルも含まれていると述べています。
過去のハッキングとの関連
今回のハッカーは、コロンビア大学、ニューヨーク大学、ミネソタ大学、ミシシッピ大学、マイアミ大学オハイオ校などへの過去のハッキング(「暴力的な人種差別主義者」を自称するハッカーが責任を主張)とは無関係であると明言しています。過去のハッキングは、最高裁判所がアファーマティブ・アクションを違憲とした後も大学が不法な多様性推進政策を継続していることを示すことが動機だったと報じられていました。
元記事: https://www.theverge.com/policy/812700/university-pennsylvania-hack-data-sale-dei