A segurança cibernética nas instituições de ensino superior volta a estar em destaque pelas piores razões. A Universidade da Pensilvânia (Penn), uma das mais prestigiadas instituições da Ivy League, confirmou ter sido vítima de uma nova violação de dados. O incidente, que resultou no roubo de informações pessoais, teve origem numa vulnerabilidade crítica nos servidores da Oracle E-Business Suite (EBS).
Esta ocorrência marca o segundo incidente de segurança grave a afetar a universidade num curto espaço de tempo, expondo fragilidades num software amplamente utilizado por grandes organizações.
Falha crítica explorada por piratas informáticos
O ataque, que ocorreu em agosto de 2025, explorou uma vulnerabilidade de segurança até então desconhecida (zero-day) na aplicação financeira da Oracle. Segundo a informação revelada na notificação de violação arquivada junto do Procurador-Geral do Maine esta semana, os atacantes conseguiram exfiltrar ficheiros contendo nomes e outros identificadores pessoais.
Embora a notificação oficial indique que 1.488 indivíduos foram afetados, este número pode ser apenas a "ponta do icebergue", uma vez que a instituição ainda não divulgou a extensão total do comprometimento. Um porta-voz da universidade confirmou que a Penn foi uma das quase 100 organizações simultaneamente impactadas por este incidente global no Oracle E-Business Suite, mas garantiu que nenhum sistema fora deste ambiente foi comprometido.
As evidências apontam para o envolvimento do grupo de ransomware Clop, que tem vindo a conduzir uma campanha de extorsão em larga escala explorando esta falha específica (CVE-2025-61882) desde o início de agosto. Curiosamente, o facto de a Penn ainda não constar no site de fugas do grupo sugere que a universidade poderá estar em negociações ou que um resgate poderá já ter sido pago.
Um alvo recorrente em 2025
Este ataque surge num contexto particularmente difícil para a Universidade da Pensilvânia. Ainda no final de outubro de 2025, a instituição tinha divulgado outra brecha de segurança distinta, onde um hacker comprometeu sistemas internos e roubou dados relacionados com atividades de ex-alunos e desenvolvimento, afetando cerca de 1,2 milhões de estudantes, doadores e antigos alunos.
A Penn não está sozinha nesta batalha. Nas últimas semanas, outras escolas da Ivy League, como a Universidade de Harvard e a Universidade de Princeton, reportaram ataques semelhantes envolvendo sistemas de angariação de fundos e dados de antigos alunos.
O grupo Clop, suspeito por trás da falha na Oracle, tem um histórico de ataques de alto perfil, tendo já visado entidades como o Washington Post, a Logitech e subsidiárias da American Airlines. A gravidade das ações deste grupo levou o Departamento de Estado dos EUA a oferecer uma recompensa de 10 milhões de dólares (cerca de 9,5 milhões de euros) por informações que liguem os ataques do Clop a governos estrangeiros.
Nenhum comentário
Seja o primeiro!