Uniwersytet Nowojorski (NYU) padł ofiarą poważnego ataku cybernetycznego, podczas którego hakerzy przejęli kontrolę nad stroną internetową uczelni i opublikowali szczegółowe dane dotyczące ponad 3 milionów aplikujących od 1989 roku. Do incydentu doszło 22 marca 2025 roku rano, a strona uczelni została przejęta na blisko trzy godziny.
Motywacja ataku: zarzuty o dyskryminację
Sprawcy ataku, grupa nazywająca siebie Computer Niggy Exploitation (CNE), twierdzą, że ich działania były protestem przeciwko rzekomemu kontynuowaniu przez NYU polityki rekrutacyjnej opartej na kryteriach rasowych, pomimo decyzji Sądu Najwyższego USA z czerwca 2023 roku, która zakończyła affirmative action – praktykę preferencyjnego traktowania mniejszości etnicznych podczas rekrutacji.
Na stronie uczelni hakerzy zamieścili wykresy prezentujące średnie wyniki testów SAT, ACT oraz GPA kandydatów przyjętych na rok akademicki 2024/2025, z podziałem na grupy etniczne. Według przedstawionych danych, wyniki kandydatów pochodzenia azjatyckiego oraz białych były wyższe od wyników osób identyfikujących się jako Latynosi czy Afroamerykanie. Grupa hakerska zarzuciła NYU nieprzestrzeganie prawa, a swoją publikację uzupełniła o szczegółowe pliki CSV, zawierające wrażliwe dane osobowe milionów aplikantów.
Zakres wycieku danych
Ujawnione informacje obejmują imiona, nazwiska, numery telefonów, adresy zamieszkania, status obywatelstwa, oceny, informacje o pomocy finansowej oraz dane o rodzinach kandydatów. Pomimo zapewnień hakerów o anonimizacji informacji, eksperci ds. cyberbezpieczeństwa potwierdzili, że zabezpieczenie danych było niewystarczające. Zack Ganot, ekspert z platformy DataBreach.com, podkreślił, że opublikowane dane umożliwiały identyfikację ponad miliona osób, a skutki tego wycieku będą odczuwalne jeszcze długo po zakończeniu medialnego zainteresowania sprawą.
Reakcja władz NYU
Przedstawiciele NYU szybko podjęli działania mające na celu odzyskanie kontroli nad stroną internetową oraz zabezpieczenie swoich systemów informatycznych. Jak poinformował John Beckman, rzecznik prasowy uczelni, zespół IT współpracował z zewnętrznymi specjalistami ds. cyberbezpieczeństwa, a incydent został zgłoszony organom ścigania. NYU zapewnia, że obecnie trwają prace mające ustalić pełny zakres szkód oraz liczbę poszkodowanych osób. Uczelnia zapowiedziała również kontakt z osobami, których dane osobowe mogły zostać narażone.
Seria ataków na amerykańskie uczelnie
Incydent ten wpisuje się w serię podobnych cyberataków na amerykańskie uczelnie. W lipcu 2023 roku ta sama grupa hakerska zaatakowała Uniwersytet Minnesoty, gdzie ujawniła ponad 7 milionów numerów ubezpieczenia społecznego studentów, również w celu krytyki praktyk rekrutacyjnych opartych na kryteriach rasowych. Podobne zdarzenia miały miejsce również w przeszłości na Uniwersytecie Stanforda (2019) oraz Uniwersytecie Georgetown (2024).
Konsekwencje i rekomendacje
Analiza ekspertów wskazuje, że choć hakerzy przedstawili swoje działania jako akt społecznego protestu, naruszenie prywatności setek tysięcy osób jest nieuzasadnione i może mieć dalekosiężne konsekwencje. Tymczasem NYU oficjalnie zaprzecza zarzutom o nielegalne praktyki rekrutacyjne, wskazując, że dane przedstawione przez atakujących nie uwzględniają szerszego kontekstu społeczno-ekonomicznego. Uczelnia podkreśla, że od decyzji Sądu Najwyższego odnotowała istotny spadek liczby studentów z grup mniejszościowych, co przeczy twierdzeniom hakerów.
Eksperci ds. cyberbezpieczeństwa apelują, by uniwersytety wzmocniły swoje systemy ochrony danych, wskazując, że podobne incydenty będą miały miejsce coraz częściej. Ochrona danych osobowych studentów powinna być traktowana priorytetowo, a ataki tego typu stanowią poważne zagrożenie zarówno dla uczelni, jak i dla indywidualnych osób, których dane mogą być wykorzystane do dalszych nadużyć.
źródła: nyunews.com, gizmodo.com, therecord.media
Dodaj komentarz