University of Pennsylvania (Penn) mengumumkan kebocoran data terbaru setelah penyerang mencuri dokumen berisi informasi pribadi dari server Oracle E-Business Suite (EBS) pada Agustus 2025.
Latar Belakang
- Penn adalah universitas riset Ivy League dengan 5.827 staf pengajar dan 29.109 mahasiswa, rasio mahasiswa-dosen 8:1.
- Anggaran operasional akademik: $4,7 miliar.
- Endowment: $24,8 miliar (per Juni 2025).
- Oktober 2025, Penn juga melaporkan kebocoran data lain terkait sistem internal, mencakup 1,2 juta mahasiswa, alumni, dan donor.
Detail Kebocoran Oracle EBS
- Penyerang mengeksploitasi zero-day flaw (CVE-2025-61882) di Oracle EBS.
- Data pribadi 1.488 individu dipastikan dicuri, kemungkinan jumlah sebenarnya lebih besar.
- Jenis data yang terekspos: nama dan identifier pribadi.
- Penn menegaskan tidak ada bukti data dipublikasikan atau disalahgunakan.
- Patch dari Oracle sudah diterapkan untuk menutup celah.
Kampanye Clop Ransomware
- Insiden ini bagian dari kampanye besar Clop ransomware gang sejak Agustus 2025.
- Target lain: Harvard University, The Washington Post, GlobalLogic, Logitech, Envoy Air (subsidiary American Airlines).
- Data curian dipublikasikan di dark web leak site dan tersedia via Torrent.
- Clop sebelumnya juga menyerang Accellion FTA, GoAnywhere MFT, Cleo, MOVEit Transfer, memengaruhi lebih dari 2.770 organisasi.
- U.S. State Department menawarkan bounty $10 juta untuk informasi yang mengaitkan serangan Clop dengan pemerintah asing.
Pernyataan Resmi Penn
“University of Pennsylvania adalah salah satu dari hampir 100 organisasi yang terdampak insiden Oracle EBS. Kami telah menerapkan patch Oracle dan sedang memberi notifikasi langsung kepada individu yang terdampak sesuai hukum yang berlaku.”
Sumber: University of Pennsylvania