Kebocoran Data University of Phoenix Berdampak pada Hampir 3,5 Juta Individu

University of Phoenix (UoPX) mengonfirmasi insiden kebocoran data besar yang memengaruhi hampir 3,5 juta mahasiswa, staf, dan pemasok, setelah kelompok ransomware Clop berhasil membobol jaringan universitas tersebut pada Agustus lalu. Serangan ini menambah panjang daftar kampanye pencurian data yang menargetkan institusi pendidikan tinggi di Amerika Serikat sepanjang 2025.

UoPX, universitas swasta berbasis di Phoenix, Arizona, dengan lebih dari 82.000 mahasiswa dan 3.400 karyawan, pertama kali mengungkapkan insiden ini pada awal Desember melalui situs resminya. Phoenix Education Partners selaku perusahaan induk juga telah mengajukan laporan 8-K kepada SEC sebagai bagian dari kewajiban pelaporan insiden material.

Menurut pernyataan resmi, universitas mendeteksi pelanggaran pada 21 November, setelah Clop memasukkan UoPX ke situs kebocoran datanya. Investigasi awal menunjukkan bahwa pelaku memanfaatkan kerentanan zero-day pada Oracle E‑Business Suite (EBS) untuk mengakses dan mencuri data sensitif milik mahasiswa, staf, dan pemasok, baik yang masih aktif maupun yang sudah tidak lagi berafiliasi dengan universitas.

Informasi yang dicuri mencakup nama, data kontak, tanggal lahir, nomor jaminan sosial, serta informasi perbankan seperti nomor rekening dan routing number. Pihak universitas menyatakan bahwa mereka masih meninjau cakupan data yang terdampak dan akan memberikan pemberitahuan resmi kepada individu serta regulator terkait.

Dalam pemberitahuan yang diajukan ke kantor Jaksa Agung Maine dan dikirimkan kepada para korban, UoPX mengungkapkan bahwa total 3.489.274 individu terdampak oleh insiden ini. Sebagai langkah mitigasi, universitas kini menyediakan layanan perlindungan identitas gratis, termasuk polis penggantian kerugian penipuan senilai $1 juta, pemantauan kredit selama 12 bulan, pemulihan pencurian identitas, serta pemantauan dark web.

Serangan ini diyakini merupakan bagian dari kampanye pemerasan Clop yang lebih luas, di mana kelompok tersebut mengeksploitasi CVE‑2025‑61882, sebuah celah zero-day pada Oracle EBS yang telah digunakan sejak awal Agustus. Selain UoPX, beberapa universitas ternama seperti Harvard University dan University of Pennsylvania juga mengonfirmasi insiden serupa yang melibatkan platform EBS.

Clop sendiri dikenal sebagai kelompok yang kerap melancarkan serangan pencurian data terhadap berbagai solusi transfer file dan aplikasi korporat, termasuk GoAnywhere MFT, Accellion FTA, MOVEit Transfer, Cleo, dan Gladinet CentreStack. Pemerintah AS kini menawarkan hadiah hingga $10 juta bagi informasi yang dapat menghubungkan aktivitas Clop dengan pemerintah asing.

Sejak akhir Oktober, sejumlah universitas AS juga menghadapi gelombang serangan voice phishing yang menargetkan sistem pengembangan dan kegiatan alumni. Harvard, University of Pennsylvania, dan Princeton termasuk di antara institusi yang melaporkan pencurian data donor, mahasiswa, alumni, staf, dan fakultas akibat kompromi tersebut.