أعلنت مجموعة قرصنة إلكترونية معروفة بسجلها الإجرامي في الهجمات السيبرانية مسؤوليتها عن سلسلة من اختراقات البيانات التي استهدفت جامعتي هارفارد وبنسلفانيا في الولايات المتحدة خلال العام الماضي. وأكدت المجموعة أنها تمكنت من الوصول إلى أنظمة الجامعتين وسرقة كميات ضخمة من المعلومات الحساسة، قبل أن تقوم لاحقا بنشر هذه البيانات على الإنترنت، في خطوة تصعيدية أثارت قلقا واسعا في الأوساط الأكاديمية والأمنية.
وأوضحت المجموعة، التي تطلق على نفسها اسم ShinyHunters، أن البيانات التي نشرتها تتضمن معلومات شخصية مرتبطة بأكثر من مليون سجل لكل جامعة على حدة. وتشير التقديرات الأولية إلى أن هذه السجلات قد تشمل أسماء وأرقام تعريفية وعناوين بريد إلكتروني وبيانات اتصال، وربما معلومات إدارية أو أكاديمية أخرى، ما يزيد من خطورة الحادثة وتأثيرها المحتمل على الطلاب والموظفين والخريجين.
وذكرت المجموعة أن عملية النشر تمت من خلال موقع خاص بتسريبات البيانات تديره بنفسها، وهو موقع يُستخدم عادة كأداة ضغط على الجهات المستهدفة. وتعتمد هذه الاستراتيجية على إظهار القدرة على إلحاق ضرر فعلي بسمعة المؤسسات المتضررة، ودفعها إلى الدخول في مفاوضات مالية من أجل منع تسريب البيانات أو الحد من نطاق انتشارها. وبحسب ما أعلنته المجموعة، فإن هذا الموقع يُعد جزءا من نموذج عمل إجرامي يقوم على الابتزاز الرقمي مقابل عدم كشف المعلومات المسروقة.
وجاء نشر البيانات، وفقا لتصريحات القراصنة، بعد أن رفضت كل من جامعتي هارفارد وبنسلفانيا دفع أي مبالغ مالية على شكل فدية مقابل التعهد بعدم نشر المعلومات. ويعكس هذا الرفض توجها متزايدا لدى العديد من المؤسسات الكبرى بعدم الرضوخ لمطالب الابتزاز، رغم ما قد يترتب على ذلك من مخاطر قصيرة المدى، وذلك بهدف عدم تشجيع مزيد من الهجمات المستقبلية.
وتسلط هذه الحادثة الضوء على التحديات المتنامية التي تواجهها المؤسسات التعليمية في مجال الأمن السيبراني، خصوصا في ظل اعتمادها الواسع على الأنظمة الرقمية لتخزين وإدارة البيانات. فالجامعات لا تحتفظ فقط ببيانات أكاديمية، بل أيضا بمعلومات شخصية ومالية وصحية في بعض الأحيان، ما يجعلها أهدافا جذابة لمجموعات القرصنة المنظمة.
كما تثير الواقعة تساؤلات حول مدى جاهزية البنية التحتية الرقمية في المؤسسات التعليمية الكبرى، وحول كفاءة إجراءات الحماية والاستجابة للحوادث. وفي الوقت نفسه، تعيد التأكيد على أهمية الاستثمار المستمر في أنظمة الأمن السيبراني، وتدريب الكوادر، ورفع مستوى الوعي بالمخاطر الرقمية، للحد من احتمالات تكرار مثل هذه الاختراقات مستقبلا وحماية خصوصية الأفراد المتأثرين بها.
وكانت جامعة بنسلفانيا قد أعلنت في نوفمبر الماضي تعرض عدد محدود من أنظمة المعلومات المرتبطة بأنشطة الخريجين والتطوير لحادث أمني.
وفي تطور لافت آنذاك، تلقى عدد من خريجي الجامعة رسائل بريد إلكتروني صادرة من عناوين رسمية تابعة للجامعة، أُبلغوا فيها بوقوع الحادثة.
وأوضحت الجامعة أن ما جرى كان نتيجة هجوم قائم على الهندسة الاجتماعية، وهو أسلوب يعتمد على خداع الأفراد من خلال انتحال صفات موثوقة لدفعهم إلى اتخاذ إجراءات غير مقصودة.
ولم تحدد جامعة بنسلفانيا بدقة طبيعة البيانات التي تأثرت، مكتفية بالإشارة إلى أنها تتعلق بأنشطة الخريجين وجمع التبرعات.
وقامت جهات صحافية بالتحقق من جزء من البيانات المتداولة عبر مقارنتها بسجلات عامة والتواصل مع عدد من الخريجين، ما عزز من مصداقية المعلومات المنشورة.
هرفارد تؤكد بدورها
وفي وقت لاحق من الشهر نفسه، أعلنت جامعة هرفارد تعرض أنظمتها الخاصة بالخريجين لحادثة مشابهة، موضحة أن العملية تمت عبر ما يُعرف بالتصيد الصوتي، حيث يتم خداع الأفراد من خلال مكالمات هاتفية لدفعهم إلى التفاعل مع روابط أو مرفقات ضارة.
وبيّنت الجامعة أن البيانات المتأثرة شملت عناوين البريد الإلكتروني، وأرقام الهواتف، وعناوين السكن والعمل، وسجلات حضور الفعاليات، ومعلومات متعلقة بالتبرعات، إضافة إلى بيانات شخصية أخرى مرتبطة بأنشطة التواصل مع الخريجين.
ووفقًا لما اطلعت عليه جهات إعلامية، فإن البيانات التي نشرتها مجموعة تُعرف باسم ShinyHunters تتوافق إلى حد كبير مع نوعية المعلومات التي أقرت الجامعتان بتعرضها للحادثة.
ابتزاز ورسائل مثيرة للجدل
وأفادت المجموعة بأن نشر البيانات جاء بعد رفض الجامعتين الاستجابة لمطالب مالية.
ويُعد هذا الأسلوب شائعًا لدى بعض الجهات التي تلجأ إلى نشر البيانات علنًا في حال تعثر محاولات الضغط.
وخلال الحادثة المتعلقة بجامعة بنسلفانيا، تضمن الخطاب المستخدم رسائل ذات طابع سياسي، عبّرت عن اعتراضات على سياسات القبول، ولا سيما ما يتعلق بما يُعرف بالتمييز الإيجابي.
إلا أن مجموعة ShinyHunters لا تُعرف عادة بتبني مواقف سياسية، ولم تصدر عنها أي توضيحات بشأن استخدام هذا الخطاب.
رد الجامعة
من جانبه، قال المتحدث باسم جامعة بنسلفانيا، رون أوزيو، إن الجامعة تعمل حاليًا على تحليل البيانات المنشورة، وستقوم بإخطار أي أشخاص متأثرين في حال استدعت قوانين الخصوصية ذلك.
وتعيد هذه الحادثة تسليط الضوء على تزايد التحديات الأمنية التي تواجه المؤسسات الأكاديمية الكبرى، وما تشكله من مخاطر متنامية على حماية البيانات الشخصية.
