Siber suç grubu ShinyHunters, geçtiğimiz Ekim ayında Pennsylvania Üniversitesi'nin (UPenn) dahili veri sistemlerine sızarak, dosyaların dark web'de yayınlanmasını engellemek için üniversiteden 1 milyon dolarlık fidye talep etti. Üniversitenin bu fidyeyi ödemeyi reddetmesi üzerine, ShinyHunters çevrimiçi platformlarda saldırının sorumluluğunu üstlendi ve ele geçirdikleri verileri yayınladı. 2019'dan beri Google, AT&T Wireless, Ticketmaster ve SoundCloud gibi büyük şirketlere yönelik geniş çaplı saldırılarıyla tanınan ShinyHunters, bu kez hedefine UPenn'i almıştı.
ShinyHunters, 4 Şubat'ta gizli üniversite dosyalarını, eski kayıtları ve bağışçı iletişim bilgilerini içeren verileri kendi web sitesinde yayınladı. Bu sızıntı, UPenn'in bir mahkeme başvurusunda ihlalden 10'dan az kişinin etkilendiğini belirtmesinden sadece iki gün sonra gerçekleşti. Grup, üniversitenin bu iddiasının, daha fazla dosyanın yayınlanmasını "%100" oranında hızlandırmalarına neden olduğunu belirtti. ShinyHunters sözcüsü, ellerindeki tüm bilgilerin sızdırıldığını ve bir kez sızdırılan verinin geri dönüşü olmadığını ifade etti. Grup, fidye taleplerine yanıt vermeyen veya bir anlaşmaya varmayan kuruluşların verilerini yayınladıklarını belirtiyor.
ShinyHunters, UPenn'den "makul" bir 1 milyon dolar talep ettiklerini ve bu talebi içeren basit bir e-postanın üniversiteye gönderildiğini ancak yanıt alamadıklarını iddia etti. Grubun sözcüsüne göre, UPenn'e genel bir bilgi teknolojisi e-posta adresi aracılığıyla taleplere yanıt vermesi için birden fazla fırsat tanınmıştı. Bu olay, üniversitelerin ve diğer kurumların siber güvenlik tehditlerine karşı ne kadar savunmasız olabileceğini ve fidye yazılımı saldırılarının potansiyel sonuçlarını bir kez daha gözler önüne serdi.
Bu olay, üniversiteler gibi kurumların siber güvenlik risklerine karşı ne kadar savunmasız olduğunu ve fidye taleplerine verilen yanıtların veri sızıntılarının kapsamını nasıl etkileyebileceğini gösteriyor.