हॅकर्स आयव्ही लीगला का लक्ष्य करत आहेत

अलीकडील डेटा उल्लंघनांची मालिका ठळकपणे दर्शवित आहे की श्रीमंत, उच्च-प्रोफाइल उच्च शिक्षण संस्था वाढत्या अत्याधुनिक सायबर हल्ल्यांना विशेषतः असुरक्षित का आहेत.

गेल्या आठवड्यात, हॅकर्स डेटाबेस क्रॅक केला माजी विद्यार्थी, देणगीदार, काही प्राध्यापक, विद्यार्थी आणि पालक यांची माहिती असलेले प्रिन्स्टन विद्यापीठाच्या प्रगत कार्यालयाद्वारे व्यवस्थापित. दोन आठवड्यांपूर्वी, हॅकर्सनी तत्सम रेकॉर्ड चोरले पेनसिल्व्हेनिया विद्यापीठातून. ते हल्ले या वर्षाच्या सुरुवातीला कोलंबिया विद्यापीठात इतरांचे अनुसरण झाले – जे उघड झाले 870,000 लोकांचा डेटाविद्यार्थी आणि अर्जदारांसह—आणि न्यूयॉर्क विद्यापीठज्याने 1989 पासून विद्यापीठात अर्ज केलेल्या सुमारे तीस लाख लोकांच्या वैयक्तिक डेटाशी तडजोड केली.

श्रीमंत, निवडक विद्यापीठे सायबर हल्ल्यांना बळी पडणाऱ्या एकमेव संस्थांपासून दूर आहेत, तज्ञ म्हणतात की त्यांची प्रतिष्ठा, संसाधने आणि संशोधन प्रोफाइल त्यांना विशेषतः आकर्षक लक्ष्य बनवतात. स्वतःचे संरक्षण करण्यासाठी, संस्थांनी आयटी कर्मचारी आणि प्रणालींमध्ये गुंतवणूक केली पाहिजे आणि विद्यार्थी आणि कर्मचाऱ्यांना संभाव्य धोक्यांपासून शिक्षित केले पाहिजे.

“जर मी बँकेत प्रवेश करणार आहे, तर मी सर्वात मोठ्या बँकेत प्रवेश करणार आहे,” डग थॉम्पसन, मुख्य शिक्षण आर्किटेक्ट आणि टॅनिअम, सायबर सुरक्षा व्यवस्थापन कंपनीचे सोल्यूशन्स अभियांत्रिकीचे संचालक म्हणाले. “ते यासाठी योग्य आहेत कारण ते खूप मोठे आहेत आणि त्यांच्याकडे खूप पैसा आहे. जर हॅकर विद्यापीठ हॅक करण्याचा प्रयत्न करत असेल, तर ते त्यांच्या पैशासाठी सर्वात मोठा दणका मिळवण्याचा प्रयत्न करतील.”

काळ्या बाजारात विकल्या जाऊ शकणाऱ्या वैयक्तिक ओळखीच्या माहितीचे अंश मिळवण्याव्यतिरिक्त, विद्यापीठाच्या चांगल्या देणगीदारांची यादी स्वाइप केल्याने भविष्यातील घोटाळ्यांसाठी आणखी संधी निर्माण होतात. “आता, हॅकर्सकडे खाजगी लक्ष्यांचा संपूर्ण समूह आहे,” थॉम्पसन म्हणाले. “त्यांच्याकडे अशा लोकांची नावे आहेत ज्यांच्याकडे या संस्थांना देणगी देण्यासाठी पुरेसे पैसे आहेत.”

पण पैसा ही एकमेव प्रेरणा नाही. आयव्ही लीग आणि इतर उच्चभ्रू संस्था उच्च शिक्षणावरील व्यापक राजकीय हल्ल्यांचा चेहरा बनल्या आहेत, त्यामुळे त्यांना तथाकथित हॅकटिव्हिस्ट आकर्षित करण्याची अधिक शक्यता आहे.

“सध्याच्या राजकीय वातावरणात, शैक्षणिक संस्था आणि त्यांचे कर्मचारी सर्व प्रकारचे गट, आंदोलक आणि संस्थांकडून संताप व्यक्त करत आहेत जे त्यांच्या बोलण्याने किंवा कृत्याने संतप्त होऊ शकतात आणि अशा प्रकारचे हल्ले करतात,” ब्रेंट रिले म्हणाले, डिजिटल फॉरेन्सिकचे उपाध्यक्ष आणि सायक्सेलच्या उत्तर अमेरिकन विभागासाठी घटना प्रतिसाद, डिजिटल जोखीम सल्लागार फर्म.

मौल्यवान डेटा चोरण्याव्यतिरिक्त, पेन येथील हॅकर्सने त्यांच्या कामाबद्दल बढाई मारली एक असभ्य, फसव्या वस्तुमान ईमेल upenn.edu ईमेल पत्त्यावरून विद्यापीठ समुदायाला पाठवले. ईमेलमध्ये पेनचा उल्लेख “अभिजातवादी”, “जागे” आणि “भयंकर सुरक्षा पद्धती” असलेली “अमेरिटोक्रॅटिक” संस्था आहे जी “मूर्खांना कामावर ठेवते आणि कबूल करते कारण आम्हाला वारसा, देणगीदार आणि अयोग्य होकारार्थी कृती मान्य आहेत.”

“आम्हाला FERPA (तुमचा सर्व डेटा लीक केला जाईल) आणि सर्वोच्च न्यायालयाच्या निर्णयासारखे फेडरल कायदे तोडणे आवडते [Students for Fair Admissions v. Harvard],” ईमेलमध्ये म्हटले आहे. “कृपया आम्हाला पैसे देणे थांबवा.” त्याचप्रमाणे, कोलंबिया आणि NYU हॅकर्सनी वंशाच्या जाणीवपूर्वक प्रवेश असंवैधानिक असल्याच्या SFFA मधील सर्वोच्च न्यायालयाच्या 2023 च्या निर्णयाचा त्यांचा कथित अवहेलना दर्शविण्यासाठी नावनोंदणी डेटा मिळविण्यासाठी त्यांच्या प्रेरणांचे श्रेय दिले आहे.

श्रीमंत विद्यापीठांचे अत्याधुनिक संशोधन देखील त्यांना इतर राष्ट्रांच्या सायबर हल्ल्यांना अधिक असुरक्षित बनवते.

“ते संशोधन डेटा चोरण्यासाठी संस्थांना लक्ष्य करतील जेणेकरून त्यांना स्वतः तयार करण्यासाठी पैसे खर्च करावे लागणार नाहीत,” रिले म्हणाले. “सैन्य, फार्मास्युटिकल्स किंवा मॅन्युफॅक्चरिंगमध्ये संशोधन करणारे कोणतेही विद्यापीठ हे इतर देशांतील धोक्याच्या कलाकारांसाठी उच्च-मूल्य लक्ष्य आहे जेथे सरकार व्यापार गुपिते आणि पेटंट करण्यायोग्य माहिती चोरण्यासाठी हॅकर्सना नियुक्त करते.”

उच्चभ्रू संस्थांसाठी विशिष्ट सायबर सुरक्षा जोखीम घटक हे ऑपरेशनल सेटअप व्यतिरिक्त आहेत ज्यामुळे जवळजवळ सर्व महाविद्यालये आणि विद्यापीठे सायबर हल्ल्यांना असुरक्षित बनवतात, जे केवळ जनरेटिव्ह आर्टिफिशियल इंटेलिजन्सच्या युगात अधिक परिष्कृत होत आहेत.

रिले म्हणाले, “शिक्षण हे धोक्याच्या कलाकारांसाठी इतके सोपे लक्ष्य आहे, “मुख्यतः नेटवर्कवर अनेक अप्रत्याशित वापरकर्त्यांच्या आवश्यकतेमुळे.”

तरी एका गटाने दाखल केलेला खटला या महिन्याच्या सुरुवातीला पेनच्या माजी विद्यार्थ्यांचा दावा आहे की अलीकडील हॅक हा विद्यापीठाच्या “निष्काळजीपणा आणि अपुरा डेटा सुरक्षेचा परिणाम आहे,” रिले म्हणाले की हॅकर्स अजूनही काही अत्याधुनिक सायबर सुरक्षा प्रणालींचा भंग करू शकतात.

हे काही अंशी कारण आहे कारण पेन आणि इतर विद्यापीठांमधील उल्लंघन हे सामाजिक अभियांत्रिकी म्हणून ओळखल्या जाणाऱ्या युक्तीद्वारे साध्य केले गेले होते, ज्यामध्ये हॅकर कर्मचाऱ्यांना संवेदनशील माहितीमध्ये प्रवेश देण्यासाठी त्यांना पटवून देण्यासाठी खोटे ढोंग वापरतो.

“जगातील सर्वोत्कृष्ट सुरक्षा संरक्षण निर्देशांक मानवी घटकांना चुका करण्यासाठी असुरक्षित असणे, डेटा कुठेतरी तो नसावा अशा ठिकाणी ठेवणे, धमकी देणाऱ्या अभिनेत्याला त्यांचा पासवर्ड चोरण्याची परवानगी देणे आणि मल्टीफॅक्टर आयडेंटिफिकेशन प्रदान करण्यात फसवणे, किंवा त्यांना फाइल शेअरमध्ये प्रवेश देण्यास पटवून देणे अशा गोष्टींकडे जाऊ शकत नाही,” रिले म्हणाले.

आणि जनरेटिव्ह एआयच्या आगमनाने, ते खोटे शोधणे खूप कठीण होत आहे.

“असे असायचे की आम्ही लोकांना चुकीचे व्याकरण किंवा चुकीचे शब्दलेखन शोधून संभाव्य सामाजिक अभियांत्रिकी आक्रमण शोधण्यासाठी प्रशिक्षित करू,” रिले म्हणाले. “ते आता जवळजवळ संपूर्णपणे जनरेटिव्ह AI सह गेले आहे, जे स्थानिक संप्रेषण शैलींवर आधारित सामाजिक अभियांत्रिकी ईमेल किंवा संप्रेषण तयार करत आहे.”