Hackers divulgam dados pessoais roubados em ataques à Harvard e à Universidade da Pensilvânia

Um grupo hacker conhecido como ShinyHunters afirmou ser o responsável pelos vazamentos de dados ocorridos no ano passado na Harvard University e na University of Pennsylvania (UPenn) e publicou, nesta semana, informações pessoais que alega ter extraído das duas instituições.

Segundo o grupo, mais de 1 milhão de registros de cada universidade foram disponibilizados em um site dedicado a vazamentos, utilizado como parte de sua estratégia de extorsão. O método é comum nesse tipo de ataque: os hackers exigem pagamento para não divulgar os dados e, diante da recusa, tornam as informações públicas.

Em novembro, a UPenn confirmou um incidente de segurança envolvendo “um conjunto restrito de sistemas relacionados a atividades de desenvolvimento institucional e ex-alunos”. Na ocasião, os hackers chegaram a enviar e-mails para ex-alunos a partir de endereços oficiais da universidade, anunciando o ataque. A instituição atribuiu o comprometimento a um ataque de engenharia social, no qual o invasor se passa por alguém legítimo para induzir a vítima a executar ações indevidas.

Embora a UPenn não tenha detalhado publicamente quais dados foram acessados, análises independentes confirmaram a autenticidade de parte do material divulgado, cruzando informações com registros públicos e identificadores de ex-alunos.

Pouco tempo depois, a Harvard também confirmou um ataque contra seus sistemas de ex-alunos, atribuindo o incidente a um golpe de phishing por voz (vishing) técnica em que o invasor utiliza chamadas telefônicas para induzir a vítima a clicar em links ou abrir anexos maliciosos. Segundo a universidade, os dados comprometidos incluíam endereços de e-mail, telefones, endereços residenciais e comerciais, registros de participação em eventos, informações sobre doações e outros dados biográficos relacionados a atividades de arrecadação e relacionamento com ex-alunos.

O conjunto de dados publicado pelo ShinyHunters aparenta corresponder exatamente às categorias de informações que ambas as universidades afirmaram ter sido acessadas durante os ataques.

Os hackers afirmaram que decidiram divulgar os dados após as instituições se recusarem a pagar o resgate exigido. Durante o ataque à UPenn, o grupo incluiu mensagens com tom político, criticando políticas de ação afirmativa em e-mails enviados a ex-alunos. Apesar disso, o ShinyHunters não é conhecido por motivações políticas, e não esclareceu por que utilizou esse tipo de discurso.

Um porta-voz da Universidade da Pensilvânia informou que a instituição está analisando o conteúdo divulgado e notificará os indivíduos afetados, caso seja exigido pelas legislações de proteção de dados aplicáveis. A Harvard não comentou o caso até o momento.

O episódio reforça a crescente exposição de instituições acadêmicas a ataques cibernéticos, especialmente aquelas que concentram grandes volumes de dados pessoais, históricos financeiros e informações sensíveis de comunidades globais.